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内 容 简 介 


本 书 阐述 信息 系统 规划 设计、 实施 过 程 中 涉及 的 安全 问题 。 基 于 硬件 .软件 ,人员 3 个 层面 ,在 介绍 
相关 模型 和 概念 的 基础 上 ,探讨 了 信息 系统 安全 工程 中 物理 设备 安全 ,环境 安全 需求 与 通信 硬件 安全 的 规 
划 ,需求 和 测试 ,分 析 了 信息 系统 数据 在 使 用 中 的 安全 性 ,信息 系统 赖 以 生存 的 软件 自身 的 安全 问题 ,以 及 
使 用 信息 系统 的 人 员 的 安全 管理 与 控制 。 另 外 ,本 书 还 对 信息 系统 安全 相关 的 风险 评估 与 减缓 .安全 标准 
与 规范 应急 与 恢复 .安全 技术 和 安全 解决 方案 进行 了 必要 的 介绍 。 

本 书 可 作为 计算 机 、 软 件 工程 .信息 安全 、 物 联网 工程 等 相关 专业 的 教材 ,也 可 供 信息 技 术 人 员 学 习 
参考 。 
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出 版 说 明 


四 于 网 络 应 用 越 来 越 普及 ,信息 化 的 社会 已 经 呈现 出 越 来 越 广阔 的 前 景 , 可 以 肯定 地 说 ， 
在 未 来 的 社会 中 电子 支付 ,电子 银行 ,电子 政务 以 及 多 方面 的 网 络 信息 服务 将 深入 到 人 
类 生活 的 方方面面 。 同 时 , 随 之 面临 的 信息 安全 问题 也 日 益 突出 ,非法 访问 ,信息 窃取 
甚至 信息 犯罪 等 恶意 行为 导致 信息 的 严重 不 安全 。 信 息 安 全 问题 已 由 原来 的 军事 国防 
领域 扩展 到 了 整个 社会 ,因此 社会 各 界 对 信息 安全 人 才 有 强烈 的 需求 。 

信息 安全 本 科 专 业 是 2000 年 以 来 结合 我 国 特色 开设 的 新 的 本 科 专 业 , 是 计算 机 、 
通信 、 数 学 等 领域 的 交叉 学 科 , 主要 研究 确保 信息 安全 的 科学 和 技术 。 自 专业 创办 以 
来 ,各 个 高 校 在 课程 设置 和 教材 研究 上 一 直 处 于 探索 阶段 。 但 各 高 校 由 于 本 身 专业 设 
置 上 来 自 于 不 同 的 学 科 , 如 计算 机 、 通 信和 数学 等 ,在 课程 设置 上 也 没有 统一 的 指导 规 
范 ,在 课程 内 容 、 深 浅 程度 和 课程 衔接 上 ,存在 模糊 不 清 、 内 容重 全、 知识 覆盖 不 全 面 等 
现象 。 因 此 ,根据 信息 安全 类 专业 知识 体系 所 覆盖 的 知识 点 ,系统 地 研究 目前 信息 安全 
专业 教学 所 涉及 的 核心 技术 的 原理 .实践 及 其 应 用 ,合理 规划 信息 安全 专业 的 核心 课 
程 , 在 此 基础 上 提出 适合 我 国信 息 安全 专业 教学 和 人 才 培 养 的 核心 课程 的 内 容 框 架 和 
知识 体系 ,并 设计 新 的 教学 模式 和 教学 方法 ,对 进一步 提高 国内 信息 安全 专业 的 教学 水 
平和 质量 具有 重要 的 意义 。 

为 了 进一步 提高 国内 信息 安全 专业 课程 的 教学 水 平和 质量 ,培养 适应 社会 经 济 发 
展 需要 的 、. 兼 具 研究 能 力 和 工程 能 力 的 高 质量 专业 技术 人 才 。 在 教育 部 相关 教学 指导 
委员 会 专家 的 指导 和 建议 下 ,清华 大 学 出 版 社 与 国内 多 所 重点 大 学 共同 对 我 国信 息 安 
全 人 才 培 养 的 课程 框架 和 知识 体系 ,以 及 实践 教学 内 容 进 行 了 深入 的 研究 ,并 在 该 基础 
上 形成 了 “信息 安全 人 才 需 求 与 专业 知识 体系 .课程 体系 的 研究 "等 研究 报告 。 

本 系列 教材 是 在 课程 体系 的 研究 基础 上 总 结 、 完 善 而 成 ,力求 充分 体现 科学 性 、. 先 
进 性 .工程 性 ,突出 专业 核心 课程 的 教材 ,兼顾 具有 专业 教学 特点 的 相关 基础 课程 教材 ， 
探索 具有 发 展 潜力 的 选修 课程 教材 ,满足 高 校 多 层次 教学 的 需要 。 

本 系列 教材 在 规划 过 程 中 体现 了 如 下 一 些 基 本 组 织 原则 和 特点 。 

(1) 反映 信息 安全 学 科 的 发 展 和 专业 教育 的 改革 ,适应 社会 对 信息 安全 人 才 的 培 
养 需求 ,教材 内 容 坚 持 基 本 理论 的 扎实 和 清晰 ,反映 基本 理论 和 原理 的 综合 应 用 ,在 其 
基础 上 强调 工程 实践 环节 ,并 及 时 反映 教学 体系 的 调整 和 教学 内 容 的 更 新 。 

(2) 反映 教学 需要 ,促进 教学 发 展 。 教 材 要 适应 多 样 化 的 教学 需要 ,正确 把 握 教 学 
内 容 和 课程 体系 的 改革 方向 ,在 选择 教材 内 容 和 编写 体系 时 注意 体现 素质 教育 、 创 新 能 
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力 与 实践 能 力 的 培养 ,为 学 生 知识 .能力 素质 协 调 发 展 创造 条 件 。 

(3) 实施 精品 战略 ,突出 重点 。 规 划 教 材 建 设 把 重点 放 在 专业 核心 (基础 ) 课 程 的 教材 
建设 上 ; 特别 注意 选择 并 安排 一 部 分 原来 基础 比较 好 的 优秀 教材 或 讲义 修订 再 版 ,逐步 形 
成 精品 教材 ; 提倡 并 鼓励 编写 体现 工程 型 和 应 用 型 的 专业 教学 内 容 和 课程 体系 改革 成 果 的 
教材 。 

(4) 支持 一 纲 多 本 ,合理 配套 。 专 业 核心 课 和 相关 基础 课 的 教材 要 配套 ,同一 门 课程 可 
以 有 多 本 具有 各 自 内 容 特点 的 教材 。 处 理 好 教材 统一 性 与 多 样 化 ,基本 教材 与 辅助 教材 , 教 
学 参考 书 , 文 字 教材 与 软件 教材 的 关系 ,实现 教材 系列 资源 的 配套 。 

(5) 依靠 专家 ,择优 落实 。 在 制定 教材 规划 时 依靠 各 课程 专家 在 调查 研究 本 课程 教材 
建设 现状 的 基础 上 提出 规划 选 题 。 在 落实 主编 人 选 时 ,要 引入 竞争 机 制 ,通过 申报 、 评 审 确 
定 主编 。 书 稿 完成 后 认真 实行 审 稿 程序 ,确保 出 书 质量 。 

繁荣 教材 出 版 事业 ,提高 教材 质量 的 关键 是 教师 。 建 立 一 支 高 水 平 的 \ 以 老 带 新 的 教材 
编写 队伍 才能 保证 教材 的 编写 质量 ,希望 有 志 于 教材 建设 的 教师 能 够 加 入 到 我 们 的 编写 队 
伍 中 来 。 
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信息 系统 所 面临 的 各 种 安全 威胁 日 益 突出 ,信息 安全 问题 已 成 为 涉及 国家 政治 军事、 经 
济 和 文教 等 诸多 领域 的 战略 安全 问题 。 信 息 系统 安全 问题 伴随 着 信息 技术 在 企业 、 政 
府 及 社会 各 个 角落 的 普及 而 日 益 突出 ,信息 系统 安全 研究 的 重点 , 则 伴随 着 网 络 安 全 隐 
患 的 不 断 暴露 和 安全 知识 的 深化 在 不 断 调整 。 从 经 典 的 密码 学 到 新 兴 的 反 黑 防毒 技 
术 ,再 到 现在 的 云 查 杀 ,无 不 渗透 着 这 样 一 个 道理 :信息 系统 的 安全 方兴未艾 、 任 重 

大 量 研究 表明 ,信息 系统 本 身 就 充满 动态 性 。 例 如 信息 系统 的 需求 是 动态 的 ,安全 
漏洞 具有 动态 性 ,系统 建设 是 动态 的 ,网 络 拓扑 也 是 动态 的 。 这 些 动态 的 因素 要 求 网 络 
的 防御 也 必须 是 动态 的 。 信 息 系 统 的 安全 防护 除了 应 采取 加 密 、 访 问 控制 和 防火 墙 外 ， 
还 应 当 动 态 地 检测 和 监控 网 络 ,利用 相关 检测 工具 了 解 和 评估 当前 系统 的 安全 状态 ,发 
现 新 的 威胁 和 弱点 ,并 通过 循环 反馈 及 时 做 出 响应 ,将 信息 系统 调整 到 “最 安全 ”和 “ 风 
险 最 低 ” 的 状态 。 

信息 保障 强调 信息 系统 整个 生命 周期 的 防御 和 恢复 ,同时 安全 问题 的 出 现 和 解决 
方案 超越 了 纯 技 术 范 畴 。 为 了 确保 信息 系统 的 可 用 性 ,完整 性 、 机 密 性 、 可 控 性 ,不 可 否 
认 性 等 特性 ,仅仅 靠 技 术 是 难以 奏效 的 。 所 以 信息 安全 保障 要 依赖 于 人 、 技 术 、 管 理 三 

本 书 以 解决 信息 系统 日 益 严重 的 安全 问题 为 出 发 点 ,紧密 结合 信息 管理 .网 络 工 
程 ` 通 信 工 程 、 信 息 工程 .信息 安全 等 相关 专业 的 实际 需要 ,将 抽象 的 信息 系统 安全 概 
念 、 理 论 和 方法 融和 到 信息 系统 的 设计 、 规 划 与 管理 等 方面 。 

本 书 具有 以 下 特点 : 

(1) 将 信息 安全 的 概念 、 理 论 和 技术 与 通用 信息 系统 工程 领域 的 最 新 成 果 相 结合 。 

(2) 从 信息 系统 实际 应 用 的 角度 出 发 ,对 所 涉及 的 系统 安全 需求 .规划 与 运行 管理 
安全 进行 了 全 方位 的 阐述 。 

(3) 强调 基本 理论 和 工程 技术 相 结合 , 为 便于 学 习 , 书 中 将 以 具体 实例 阐述 信息 系 
统 安全 的 实施 方案 。 

全 书 共 分 9 章 , 每 章 都 配 有 小 结 和 习题 。 第 1 章 为 概述 ,主要 介绍 相关 基本 概念 ， 
如 信息 、 信 息 系 统 、 信 息 系统 安全 ,并 对 信息 系统 安全 研究 的 内 容 进 行 了 阐述 。 第 2 章 
围绕 信息 系统 安全 工程 ISSE 及 周期 模型 展开 论述 ,引入 信息 系统 安全 工程 的 相关 基 
本 概念 ,主要 介绍 周期 模型 .ISSE 过 程 .ISSE 的 基本 功能 、 安 全 规划 与 控制 ,安全 需求 、 
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安全 设计 和 安全 运行 ,接着 从 生命 周期 的 角度 论述 了 安全 支持 和 风险 管理 技术 。 第 3 章 讲 
述 信息 系统 安全 规划 ,在 讨论 信息 系统 安全 规划 的 目标 、 原 则 、 作 用 和 步骤 的 基础 上 ,重点 论 
述 信息 安全 规划 的 内 容 ,包括 计算 模式 安全 规划 ,信息 资源 安全 规划 、 网 络 与 系统 安全 规划 、 
组 织 与 管理 安全 规划 ,最 后 提出 信息 系统 安全 规划 的 模型 和 方法 。 第 4 章 为 信息 系统 安全 
需求 ,分 别 阐述 不 同 层次 ` 不 同类 别 的 安全 需求 ,并 对 安全 需求 进行 分 析 , 最 后 介绍 了 信息 系 
统 各 基本 阶段 的 安全 需求 。 第 5 章 为 信息 系统 安全 设计 ,从 安全 体系 结构 和 安全 生命 周期 
两 个 角度 对 信息 系统 安全 设计 做 出 分 析 。 第 6 章 讲解 信息 系统 的 安全 性 测试 技术 ,在 讨论 
测试 目标 、 原 则 等 基本 概念 之 后 ,从 硬件 和 软件 两 个 层面 重点 阐述 相关 安全 性 测试 方法 。 第 
7 章 围绕 信息 系统 运营 中 的 安全 管理 展开 论述 ,主要 讲解 相关 人 事 管理 .事件 管理 .灾难 备 
份 与 恢复 和 安全 审计 技术 。 第 8 章 讲述 了 信息 系统 安全 风险 评估 的 有 关 概 念 和 方法 ,主要 
包括 评估 过 程 、 评 估 方 法 以 及 评估 实施 过 程 中 的 若干 事项 。 第 9 章 提供 相关 信息 系统 安全 
示例 。 

全 书 由 林 果 园 主编 . 统 稿 ,其 中 第 1.3、5、7、9 章 由 别 玉 玉 负责 编写 ,第 2.4、6、8 章 由 刘 
凯 负 责编 写 。 

在 本 书写 作 过 程 中 ,吸收 了 很 多 国内 外 同行 关于 操作 系统 的 最 新 研究 内 容 ,参考 了 大 量 
学 术 著 作 和 研究 成 果 , 有 的 已 经 在 参考 文献 中 列 出 ,但 由 于 篇 幅 所 限 , 想 不 能 一 一 列 出 ,在 此 
一 并 表示 感谢 ! 

由 于 编者 水 平 有 限 , 书 中 难免 有 错 , 殷 切 希 望 广大 读者 批评 指正 。 


编 者 
2011 年 4 月 
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1.1 信 息 


当今 时 代 是 一 个 信息 化 的 时 代 , 随 着 信息 化 进程 的 不 断 深化 ,人 类 社会 对 信息 科学 与 信 
息 技术 的 依赖 与 日 俱 增 ,一 位 美国 科学 家 曾 说 过 :“ 没 有 物质 的 世界 是 虚无 的 世界 ,没有 能 
源 的 世界 是 死寂 的 世界 ,没有 信息 的 世界 是 混乱 的 世界 。” 由 此 可 见 信息 的 重要 性 ,同时 也 说 


明 信 息 本 身 是 有 秩序 有 价值 的 。 
自然 界 的 万 事 万 物 无 时 无 刻 不 在 传递 着 信息 。“ 今 天 天 气 很 好 , 秋 高 气 夹 , 青 草 慢 慢 转 
黄 , 湖 中 的 睡莲 随 风 吐 露 芬芳 ……”, 仅 从 这 一 句 话 我 们 就 能 得 到 丰富 的 信息 ,天气 情况 是 一 


种 信息 ,色彩 是 一 种 信息 ,芳香 也 是 一 种 信息 。 
1.1.1 信息 的 含义 


信息 是 信息 论 中 的 术语 ,常常 指 消息 中 有 意义 的 内 容 。 信 息 的 概念 由 来 已 久 , 最 早 可 以 
追溯 到 两 千 多 年 前 的 西汉 ,作为 消息 理解 ,但 当时 对 信息 的 使 用 仅 限于 日 常用 语 。 随 着 人 类 
社会 文明 程度 的 不 断 提高 ,人 们 对 信息 的 认识 也 在 不 断 提高 和 深入 ,但 至 今 对 信息 还 没有 一 
个 公认 的 定义 。 

1928 年 美国 数学 家 哈 特 莱 (Hartley) 在 (信息 传输 》 中 首先 提出 : 信息 的 具体 形式 是 由 
代码 ,符号 组 成 的 消息 ,并 用 选择 的 自由 度 来 度量 信息 的 大 小 。 他 在 文中 指出 消息 是 信息 的 
载体 ,信息 是 包含 在 消息 中 的 抽象 量 , 从 而 在 概念 上 对 消息 和 信息 加 以 区 分 。 哈 特 莱 认 为 
“信息 是 选择 的 自由 度 ”。 

1948 年 ,美国 数学 家 ,信息 论 的 创始 人 香农 (Shannon) 在 (通信 的 数学 理论 ) 中 指出 : 
“信息 是 用 来 消除 事物 不 确定 性 的 东西 "”。 香农 创立 的 信息 论 为 人 们 开启 了 探索 信息 时 代 奥 
秘 的 大 门 。 

同一 年 ,美国 著名 数学 家 ,控制 论 的 创始 人 维 纳 (Wiener) 在 《控制 论 ) 一 书 中 指出 “信息 
就 是 信息 , 既 非 物质 ,也 非 能 量 ”。 

上 述 著 名 学 者 关于 信息 的 定义 在 某 种 程度 上 描述 了 信息 的 一 些 特征 ,但 是 还 不 够 全 面 ， 
除 此 之 外 ,关于 信息 的 定义 ,国内 外 还 有 很 多 种 不 同 的 理解 和 说 法 ,例如 : 

(1) 信息 是 物质 .能量 及 其 属性 的 标识 。 

(2) 信息 是 事物 现象 及 其 属性 标识 的 集合 。 

(3) 信息 是 确定 性 的 增加 。 

(4) 信息 是 独立 于 物质 和 能 量 之 外 存在 于 客观 世界 的 第 三 要 素 。 

(5) 信息 是 系统 的 组 成 部 分 ,是 物质 和 能 量 的 形态 结构 、 属 性 和 含义 的 表征 ,是 人 类 认 
识 客 观 的 纽带 。 


2 信息 系统 安全 


目前 对 信息 的 描述 也 是 众说 纷 经 ,但 实质 内 容 并 没有 太 大 差别 ,主要 区 别 在 于 概括 问题 
的 层次 不 同 。 中 国人 工 智 能 学 会 理事 长 钟 义 信教 授 认 为 信息 的 概念 是 有 层次 的 ,他 根据 “本 
体 论 " 和 "认识论" 两 个 最 重要 的 层次 ,对 信息 做 出 定义 。 所 谓 “ 本 体 论 "层次 , 即 为 无 约束 条 
件 层次 ,信息 可 定义 为 事物 运动 的 状态 及 状态 改变 的 方式 。 这 里 的 “事物 ” 泛 指 存在 于 人 类 
社会 .思维 活动 和 自然 界 中 一 切 可 能 的 对 象 。 在 该 层次 上 定义 的 信息 是 广义 的 信息 ,其 使 用 
范围 也 最 广 。 而 “认识 论 ” 层 次 是 受 主体 约束 的 层次 ,在 主观 认识 论 层 次 上 ,信息 是 认识 主体 
所 感知 的 或 所 表述 的 相应 事物 的 运动 状态 及 其 改变 的 方式 。 其 中 主体 所 感知 的 是 外 部 世界 
向 主体 输入 的 信息 ,主体 所 表述 的 则 是 主体 向 外 部 世界 输出 的 信息 。 


1.1.2 信息 的 性 质 


信息 本 身 虽 然 很 抽象 , 它 既 不 是 物质 也 不 是 能 量 , 却 又 与 物质 和 能 量 有 相互 依赖 的 关 
系 。 信 息 的 本 质 属性 一 一 物质 性 决定 了 它 的 一 般 属性 ,主要 包括 普遍 存在 性 、 客 观 性 、 层 次 
性 .无 限 性 .有 序 性 、 相 对 性 、 共 享 性 价值 性 、 时 效 性 等 。 

(1) 普遍 存在 性 。 信 息 的 “本 体 论 " 定 义 是 事物 的 运动 状态 及 其 改变 方式 ,事物 的 存在 
具有 普遍 性 ,并 且 事 物 的 状态 无 时 无 刻 不 在 发 生 着 运动 变化 ,因此 信息 也 具有 普遍 存在 性 。 

(2) 客观 性 。 信 息 是 客观 存在 的 ,不 以 人 的 意志 为 转移 。 信 息 的 客观 性 表现 为 信息 是 
客观 事物 发 出 的 信息 ,信息 以 客观 事实 为 依据 。 

(3) 层次 性 。 信 息 是 分 等 级 的 ,根据 对 信息 的 约束 条 件 的 不 同 , 可 以 将 信息 划分 为 不 同 
的 层次 ,“ 本 体 论 ”和 “认识 论 ” 是 划分 信息 的 两 个 最 基本 最 重要 的 层次 。 随 着 对 信息 约束 条 
件 的 增加 ,信息 的 层次 越 低 ,应 用 范围 也 越 罕 。 

(4) 无 限 性 。 物 质 的 无 限 性 以 及 事物 运动 状态 的 不 断 变 化 决定 了 信息 的 无 限 性 。 因 此 
也 出 现 了 ”信息 爆炸 ?的 问题 , 测 涌 而 来 的 信息 有 时 使 人 无 所 适 从 ,从 浩如烟海 的 信息 海洋 中 
迅速 而 准确 地 获取 自己 最 需要 的 信息 , 变 得 非常 困难 。 

(5) 有 序 性 .“ 没 有 信息 的 世界 是 混乱 的 世界 “信息 是 消除 事物 不 确定 性 的 东西 ,这 
些 都 说 明了 信息 可 以 增加 事物 的 有 序 性 。 信 息 的 这 一 性 质 具有 非常 重要 的 价值 ,要 想 使 事 
物 变 得 有 序 ,必须 从 外 界 获取 信息 。 

(6) 相对 性 。 由 于 人 们 认识 事物 的 能 力 存在 着 一 定 的 差异 ,对 于 同一 事物 ,不 同 的 观察 
者 获取 的 信息 量 可 能 不 同 ; 对 于 相同 的 信息 ,不 同 的 人 的 理解 也 存在 差异 性 ,因此 信息 是 相 
对 的 。 

(7) 共享 性 。 萧 伯 纳 对 信息 的 共享 性 有 一 个 形象 的 比喻 : 你 有 一 个 苹果 ,我 有 一 个 苹 
果 , 彼此 交换 一 下 ,我 们 仍然 是 各 有 一 个 苹果 。 如 果 你 有 一 种 思想 ,我 也 有 一 种 思想 ,我 们 
相互 交流 ,我们 就 都 有 了 两 种 思想 ,其 至 更 多 。 这 个 例子 说 明了 信息 不 会 像 物 质 一 样 因为 共 
享 而 减少 ,反而 可 以 因为 共享 而 衍生 出 更 多 。 信 息 的 共享 性 对 人 类 社会 的 发 展 和 进步 具有 
举足轻重 的 意义 。 

(8) 价值 性 。 信 息 是 一 种 资源 ,信息 经 过 加 工 可 以 对 人 类 的 生产 生活 产生 重大 影响 , 信 
息 可 以 转换 为 物质 ,能力 资金、 人 力 和 时 间 。 因 此 ,信息 是 具有 价值 的 资源 。 

(9) 时 效 性 。 事 物 状 态 的 不 断 变 化 决定 了 信息 的 动态 性 ,信息 一 旦 不 能 反映 事物 的 最 
新 变化 就 会 失去 其 本 身 的 价值 .所 以 说 信息 是 有 “寿命 的。 一 条 信息 在 某 一 时 刻 价值 非常 
高 ,但 过 了 这 一 时 刻 , 可 能 一 点 价值 也 没有 。 例 如 ,战争 时 期 敌 方 的 信息 在 某 一 时 刻 具有 非 
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常 重要 的 价值 ,可 以 决定 一 场 战 争 或 战役 的 胜 败 ,但 过 了 这 一 时 刻 ,这 一 信息 就 变 得 毫 无 意 
义 。 所 以 说 信息 具有 非常 强 的 时 效 性 。 

现实 生活 中 的 各 种 实例 能 够 帮助 人 们 更 透彻 地 理解 信息 的 上 述 性 质 ,从 而 更 深入 地 了 
解 信息 的 本 质 。 在 信息 化 程度 不 断 提高 的 社会 中 ,信息 的 作用 越 来 越 不 容 小 遍 。 信 息 是 比 
物质 和 能 量 更 有 价值 的 资源 ,全 面 理解 信息 的 概念 和 性 质 , 可 以 帮助 人 们 准确 有 效 地 利用 信 
息 为 人 类 创造 更 多 的 财富 。 


1.2 信息 系统 


信息 是 数据 所 表达 的 客观 事实 ,而 信息 系统 则 是 对 这 种 数据 所 表达 的 客观 事实 即 信息 
进行 采集 ,加工 处 理 、 存 储 和 传输 ,并 能 向 有 关 人 员 提 供 有 用 信息 的 系统 。 因 此 ,信息 系统 是 
以 信息 为 基础 为 人 类 提供 服务 的 工具 。 


1.2.1 系统 的 概念 


“系统 "一 词 源 于 古 希 腊 语 ,是 部 分 组 成 整体 的 意思 ,系统 的 思想 更 是 源远流长 , 早 在 
1937 年 ,系统 论 的 创始 人 L.V. 贝塔 朗 菲 (L. V. Bertalanffy) 就 提出 了 一 般 系统 论 原理 ,他 
将 系统 定义 为 “相互 作用 的 诸 要 素 的 复合 体 "。 随 着 系统 论 的 不 断 发 展 ,有 学 者 提出 系统 是 
由 一 些 相 互联 系 、 相 互 制约 的 若 十 组 成 部 分 结合 而 成 的 .具有 特定 功能 的 一 个 有 机 整体 。 尽 
管 系统 一 词 频繁 出 现在 社会 生活 和 学 术 领 域 中 ,但 长 期 以 来 ,系统 的 概念 及 描述 尚 无 统一 规 
范 的 定论 。 

我 们 一 般 将 系统 定义 为 由 若干 要 素 以 一 定 结构 形式 联结 构成 的 具有 某 种 功能 的 有 机 整 
体 , 可 以 从 3 个 方面 进行 理解 。 首 先 ,系统 由 若干 要 素 组 成 。 这 些 要 素 可 能 是 一 些 个 体 、 元 
件 . 零 件 ,也 可 能 其 本 身 就 是 一 个 系统 (或 称 为 子 系统 )。 如 运算 器 .控制 器 存储器、 输入 输 
出 设备 组 成 了 计算 机 的 硬件 系统 ,而 硬件 系统 又 是 计算 机 系统 的 一 个 子 系统 。 其 次 ,系统 具 
有 一 定 的 结构 。 一 个 系统 是 其 构成 要 素 的 集合 ,这 些 要素 相互 联系 .相互 制约 。 系 统 内 部 各 
要 素 之 间 相 对 稳定 的 联系 方式 、 组 织 秩序 及 控制 关系 的 内 在 表现 形式 ,就 是 系统 的 结构 。 例 
如 ,钟表 是 由 齿轮 ,发 条 、 指 针 等 零 部 件 按 一 定 的 方式 装配 而 成 的 ,但 一 堆 齿 轮 ,发 条 、 指 针 随 
意 放 在 一 起 却 不 能 构成 钟表 ; 人 体 由 各 个 器 官 组 成 ,多 个 器 官 的 简单 拼凑 并 不 能 成 为 一 个 
有 行为 能 力 的 人 。 最 后 ,系统 具有 一 定 的 功能 ,或 者 说 系统 要 有 一 定 的 目的 性 。 系 统 的 功能 
是 指 系 统 与 外 部 环境 相互 联系 和 相互 作用 中 表现 出 来 的 性 质 、 能 力 和 功能 。 例 如 信息 系统 
的 功能 是 进行 信息 的 收集 ,传递 ,储存 .加工 、 维 护 和 使 用 ,辅助 决策 者 进行 决策 ,帮助 企业 实 
现 其 目标 等 。 

从 宏观 角度 ,系统 可 分 为 自然 系统 、 人 工 系统 和 复合 系统 。 

(1) 自然 系统 : 系统 内 的 个 体 按 自然 法 则 存在 或 演变 ,产生 或 形成 一 种 群体 的 自然 现 
象 与 特征 。 自 然 系 统 包括 生态 平衡 系统 、 生 命 机 体系 统 、 天 体系 统 、 物 质 微观 结构 系统 以 及 
社会 系统 等 。 

(2) 人 工 系 统 : 系统 内 的 个 体 根 据 人 为 的 .预先 编排 好 的 规则 或 计划 好 的 方向 运作 ,以 
实现 或 完成 系统 内 各 个 体 不 能 单独 实现 的 功能 \ 性 能 与 结果 。 人 工 系统 包括 立体 成 像 系 统 、 
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生产 系统 、 交 通 系统 .电力 系统 .计算 机 系统 .教育 系统 .医疗 系统 .企业 管理 系统 等 。 
(3) 复合 系统 : 复合 系统 是 自然 系统 和 人 工 系统 的 组 合 。 复 合 系统 包括 导航 系统 、 交 
通 管理 系统 .人 机 系统 等 。 


1.2.2 信息 系统 的 概念 


信息 系统 是 由 计算 机 软 硬 件 、 网 络 通信 设备 .数据 资源 以 及 人 组 成 的 以 收集 .处 理 、 存 储 
及 传输 信息 为 目的 的 人 机 一 体 化 系统 。 任 何 一 种 信息 系统 都 由 信 源 、 信 道 和 信 宿 组 成 (如 
图 1.1 所 示 )。 过 去 的 信息 系统 并 不 涉及 计算 机 相 
关 设 备 与 技术 ,但 是 随 着 网 络 通信 技术 与 计算 机 技 
术 的 飞速 发 展 ,现代 信息 系统 基本 上 都 离 不 开通 信 
技术 和 计算 机 的 支持 ,并 且 在 很 大 程度 上 提高 了 信 
息 系统 的 处 理 能 力 和 使 用 效率 。 

从 信息 系统 的 发 展 和 系统 特点 来 看 可 以 将 信 图 1.1 信息 系统 的 结构 图 
息 系统 分 为 以 下 几 种 类 型 ; 

1. 管理 信息 系统 (Management Information System,MIS) 

管理 信息 系统 是 一 个 以 人 为 主导 ,面向 管理 工作 ,以 提高 信息 管理 效率 和 收益 为 目的 的 
人 机 一 体 化 系统 。 管 理 信息 系统 利用 计算 机 相关 设备 进行 数据 信息 的 处 理 ,并 为 用 户 提供 
管理 所 需要 的 各 种 信息 ,同时 支持 企业 高 层 决策 .中 层 控制 和 基层 操作 。 

2. 办 公 自 动 化 系统 (Office Automation System,OAS) 

针对 手工 办 公 方 式 低 效 、 复 杂 的 缺点 ,办 公 自 动 化 系统 利用 Internet/Intranet 技术 , 基 
于 工作 流 的 概念 ,用 各 种 现代 化 的 办 公设 备 代替 人 来 完成 办 公 业 务 活 动 ,使 企业 内 部 人 员 可 
以 方便 快捷 地 共享 信息 ,高 效 地 协同 工作 ,实现 迅速 .全 方位 的 信息 采集 与 处 理 , 并 支持 企业 
科学 管理 与 决策 。 

3. 决策 支持 系统 (Decision Support System .DSS) 

决策 支持 系统 是 管理 信息 系统 进一步 发 展 的 产物 ,通过 数据 分 析 、 建 立 模 型 .模拟 决策 
过 程 和 方案 等 手段 ,并 调用 多 种 分 析 工 具 和 信息 资源 ,来 辅助 决策 者 做 出 高 水 平 以 及 高 质量 
的 决策 。 

4. 数据 处 理 系统 (Data Processing System,DPS) 


数据 处 理 系统 能 够 将 输入 的 数据 信息 通过 加 工 、 整 理 、 分 析 并 计算 转换 成 易于 被 人 们 接 
受 的 信息 形式 ,并 将 处 理 后 的 信息 进行 有 序 存储 ,随时 通过 外 部 设备 输出 给 用 户 。 


1.2.3 信息 系统 的 发 展 


随 着 人 类 社会 的 发 展 变化 ,作为 人 类 的 重要 服务 工具 的 信息 系统 也 在 持续 不 断 地 发 展 
变化 。 计 算 机 技术 .通信 技术 和 管理 科学 的 发 展 是 信息 系统 发 展 的 原始 动力 。 虽 然 在 人 类 
文明 起 源 阶 段 信息 系统 和 信息 处 理 就 已 经 存在 了 ,但 是 直到 电子 计算 机 的 问世 、 信 息 技术 的 
飞跃 以 及 现代 社会 对 信息 需求 量 的 剧 增 , 信 息 系统 才 飞 速 发 展 起 来 。 

信息 系统 的 发 展 具有 阶段 性 ,描述 其 发 展 进程 的 是 阶段 论 ,具有 代表 性 的 模型 是 诺 兰 模 
型 西 诺 特 模型 和 米 切 模型 。 


信息 系统 


1. 诺 兰 模型 

通过 对 200 多 个 公司 和 部 门 发 展 信息 系统 实践 和 经 验 的 调查 与 总 结 ,美国 哈佛 大 学 教 
授 理 查 德 。 诺 兰 (R. Nolan) 提 出 了 著名 的 信息 系统 发 展 的 阶段 模型 , 即 诺 兰 模型 。 诺 兰 认 
为 ,手工 信息 系统 向 计算 机 信息 系统 发 展 过 程 中 存在 一 条 客观 的 发 展 规律 。 诺 兰 在 模型 中 
指出 ,信息 系统 的 发 展 经 历 了 初始 期 .普及 期 .控制 期 .整合 期 ,数据 管理 期 和 成 熟 期 6 个 阶 
段 ( 如 图 1.2 所 示 ) 。 


费用 


初始 期 普及 期 控制 期 整合 期 数据 管理 期 成 熟 期 人 


图 1.2 诺 兰 模 型 


1) 初始 期 

在 初始 期 ,计算 机 刚 开始 用 于 信息 处 理 ,此 时 ,人 们 对 计算 机 的 应 用 缺乏 了 解 , 计 算 机 并 
不 能 得 到 充分 的 利用 ,仅仅 用 于 管理 财务 和 工资 等 工作 。 此 外 ,缺少 具备 计算 机 操作 能 力 的 
IT 人 员 ,计算 机 得 不 到 普遍 的 应 用 。 

2) 普及 期 

随 着 计算 机 应 用 的 不 断 深入 ,人 们 对 计算 机 的 兴趣 越 来 越 广泛 ,开始 使 用 计算 机 处 理 大 
量 的 数据 信息 。 随 着 应 用 需求 的 增加 ,计算 机 软件 开发 以 及 设备 购买 的 投入 大 幅 增 长 。 在 
普及 期 ,由 于 计算 机 软 硬 件 技术 的 限制 ,同时 缺乏 合理 的 规划 ,往往 出 现 盲 目 开 发 软件 和 盲 
目 购买 计算 机 设备 的 情况 ,计算 机 的 实际 应 用 效率 并 不 高 。 

3) 控制 期 

由 于 控制 信息 处 理 费用 的 需要 ,管理 者 召集 来 自 不 同 部 门 的 用 户 组 成 委员 会 ,以 共 
同 规划 信息 系统 的 发 展 。 管 理 信 息 系统 成 为 一 个 正式 部 门 , 以 控制 其 内 部 活动 ,启动 了 
项 目 管理 计划 和 系统 发 展 方法 。 目 前 的 应 用 开始 走向 正规 ,并 为 将 来 的 信息 系统 发 展 打 
下 基础 。 

4) 整合 期 

在 这 一 时 期 ,从 管理 计算 机 转向 管理 信息 资源 ,这 是 一 个 质 的 飞跃 。 从 第 一 阶段 到 第 三 
阶段 ,通常 产生 很 多 独立 的 实体 。 在 第 四 阶段 ,开始 使 用 数据 库 和 远程 通信 技术 ,努力 整合 
现 有 的 信息 系统 。 

5) 数据 管理 期 

信息 系统 开始 从 支持 单项 应 用 发 展 到 逻辑 数据 库 支 持 下 的 综合 应 用 。 开 始 全 面 考察 和 
评估 信息 系统 建设 的 各 种 成 本 和 效益 ,全 面 分 析 和 解决 信息 系统 投资 中 各 个 领域 的 平衡 与 
协调 问题 。 
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6) 成 熟 期 

信息 系统 受到 更 广泛 的 关注 和 重视 。 正 式 的 信息 资源 计划 和 控制 系统 投入 使 用 ,以 确 
保管 理 信息 系统 支持 业务 计划 。 信 息 资 源 管理 的 效用 充分 体现 出 来 。 

诺 兰 模型 的 作用 在 于 衡量 信息 系统 当前 所 处 的 状态 ,有 利于 选择 系统 开发 的 时 机 ,同时 
帮助 人 们 对 系统 的 规划 做 出 合理 的 安排 ,控制 系统 的 发 展 方向 。 

2. 西 诺 特 模型 

1988 年 , 西 诺 特 (W. R. Synnott) 参 照 * 诺 兰 模 型 "提出 了 一 个 新 的 模型 ,这 是 一 个 过 渡 
性 的 理论 ,主要 考虑 到 信息 随时 代 变 迁 的 变量 。 他 用 4 个 阶段 的 推移 来 描述 计算 机 所 处 理 
的 信息 。 从 计算 机 处 理 原始 数据 的 "数据 ”阶段 开始 ,逐步 过 渡 到 用 计算 机 加 工 数据 并 将 它 
们 存储 到 数据 库 的 “信息 ”阶段 ; 接着 ,经 过 诺 兰 所 说 的 “技术 性 断 点 ”, 到达 把 信息 当做 经 营 
资源 的 “信息 资源 ”阶段 ; 最 后 到 达 将 信息 作为 带 来 组 织 竞 争 优 势 的 武器 , 即 “ 信 息 武器 ” 阶 
段 。 当 前 ,发 达 国 家 都 接受 了 西 诺 特 对 诺 兰 模型 的 改善 。 

3. 米 切 模型 

20 世纪 90 年 代 , 美 国 的 信息 化 专家 米 切 (Mischel) 对 诺 兰 模型 进行 了 修正 ,提出 了 米 
切 模型 ,揭示 了 信息 系统 整合 与 数据 管理 密 不 可 分 的 内 在 联系 ,认为 系统 整合 期 的 重要 特征 
就 是 做 好 数据 组 织 ,也 可 以 说 信息 系统 整合 的 本 质 是 数据 整合 或 集成 。 

米 切 的 信息 系统 发 展 阶段 论 把 综合 信息 技术 应 用 持续 发 展 ,按照 若干 特征 概括 为 4 个 
阶段 , 即 起 步 阶 段 .增长 阶段 .成熟 阶段 和 更 新 阶段 。 该 模型 的 特征 不 仅仅 是 在 数据 处 理工 
作 的 增长 和 管理 标准 化 建设 方面 ,而且 要 涉及 有 关 知 识 、 理 念 、 信 息 技术 的 综合 水 平 及 其 在 
企业 经 营 管理 中 的 作用 和 地 位 。 决 定 这 些 阶 段 的 特征 的 是 技术 状况 .代表 性 应 用 和 集成 程 
度数 据 库存 取 能 力 、 信 息 技术 融入 企业 文化 程度 以 及 全 员 素 质 .态度 和 信息 技术 视野 等 , 米 
切 模型 如 图 1. 3 所 示 。 
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技术 应 用 ”数据库 IT 文化 ”全 册 素 质 
图 1.3 米 切 模型 
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米 切 模型 可 以 帮助 企业 了 解 自 身 IT 综合 应 用 在 现代 信息 系统 的 发 展 阶段 中 所 处 的 位 
置 ,发 现在 综合 信息 技术 应 用 连续 发 展 方面 的 差距 ,并 找到 改进 方向 ,采取 合理 的 措施 。 

4. 其 他 代表 性 观点 

从 信息 处 理 功能 和 内 容 来 看 ,信息 系统 大 致 经 过 了 4 个 发 展 阶段 : 单项 事务 处 理 、 系 统 
处 理 ,决策 支持 和 综合 集成 。 这 4 个 阶段 反映 了 计算 机 辅助 管理 和 业务 活动 由 初级 到 高 级 
的 发 展 过 程 ,又 显示 了 信息 活动 在 不 同 层次 与 深度 上 对 管理 业务 活动 的 支持 。 信 息 系统 发 


展 的 这 4 个 阶段 的 核心 技术 .主要 功能 .系统 目标 以 及 代表 性 系统 如 表 1. 1 所 示 。 
表 1.1 信息 系统 发 展 的 4 个 阶段 


阶段 时 间 核心 技术 主要 功能 系统 目标 代表 性 系统 
- 提高 文书 .统计 以 及 
单项 事务 高 级 语言 程序 | 文字 处 理 、 制 表 、 统 | > 
处 理 阶段 1950 一 1970 年 设计 文件 管理 | 计 .计算 计算 等 事务 处 理 的 | 电子 数据 处 理 系统 
工作 效率 
后 计算机 网线 .通达 全 吏 计 .入 | 弛 管理 信息 外 理 |feoh ty Mis .CAD 
阶段 1960 一 1980 年 信和 数据库 技术 理 报告 生成 .计算 | 的 综合 性 、 系 统 性 、 系统 .CAM 系统 
机 和 辅助 设计 与 制造 | 准确 性 和 及 时 性 
为 组 织 决 策 者 在 决 | 
决策 支持 | oo _ 1000 和 et 分 析 、 优 化 .评价 .| 策 过 程 中 的 活动 提 2 
阶段 人 预测 供 决策 支持 ,以 改善 | 
决策 有 效 性 
实现 信息 的 集成 入 
数据 挖掘、 智能 | 综合 集成 上 述 功 | 理 和 综合 服务 ,促进 | 互联 网 .Web 服 
综合 集成 | ,00 年 以 来 代理、 高 束 信 息 | 能 ,尤其 对 人 的 智 | 制度 创新 和 业务 流 | 务 .虚拟 企业 管 
阶段 传输 及 多 媒体 | 能 活动 提供 主动 | 程 改造 ,提高 人 员 素 | 理 系统 、 协作 
信息 处 理 技术 “| 支持 质 ,创造 良好 的 工作 | 商务 
环境 


信息 系统 发 展 的 终极 目标 是 任何 人 在 任何 时 间 地 点 ,任何 情况 下 都 能 安全 方便 并 且 廉 
价 地 获取 、 利 用 信息 。 但 遗憾 的 是 ,这 是 一 个 不 可 能 达到 的 极限 ,只 能 尽 可 能 地 趋 近 。 


1.2.4 信息 系统 的 功能 

信息 系统 是 以 加 工 处 理 信 息 为 主要 目的 的 系统 。1. 1 节 已 经 对 信息 给 出 了 诸多 解释 。 
认识 论 中 的 信息 是 不 确定 度 的 减少 或 传递 中 的 知识 差 ,哲学 界 把 信息 与 有 序 度 联系 起 来 , 因 
此 ,信息 是 以 传递 知识 差 的 形式 来 减少 不 确定 度 、 增 加 系统 有 序 性 的 资源 。 从 这 一 点 来 看 ， 
信息 系统 就 是 减少 不 确定 性 的 工具 。 信 息 系 统 作为 一 种 与 信息 有 关 的 工具 ,理应 具备 以 下 
基本 功能 : 信息 的 输入 、 信 息 的 处 理 \ 信 息 的 存储 ,信息 的 输出 和 信息 的 控制 。 

1. 信息 的 输入 功能 

输入 功能 取决 于 信息 系统 所 要 达到 的 目标 及 信息 环境 和 系统 能 力 的 许可 。 

2. 信息 的 处 理 功 能 

要 想 使 输入 的 原始 数据 变 成 对 企业 或 用 户 有 用 的 信息 ,就 必须 对 信息 进行 综合 加 工 处 
理 。 信 息 处 理 一 般 包 括 真 伪 辨别 .分 类 整理 、 排 错 校 验 和 加 工分 析 4 个 环节 ,处 理 方式 有 分 
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类 查询 排序、 统计、 预测 结算 ,模拟 等 ,通常 使 用 的 数据 处 理工 具有 数据 挖掘 技术 和 基于 
数据 仓库 技术 的 联机 分 析 处 理 。 

3. 信息 的 存储 功能 

信息 输入 系统 以 后 ,经 过 加 工 处 理 形成 有 用 信息 。 由 于 不 同 信息 的 属性 、 价 值 和 时 效 不 
同 。 因 此 ,必须 将 这 些 处 理 后 的 信息 进行 存储 保管 ,以 便 随时 调用 。 当 所 需 存储 的 信息 量 非 
常 庞大 时 ,就 要 依靠 先进 的 信息 存储 技术 ,来 提高 信息 的 存储 能 力 。 系 统 存储 各 种 信息 数据 
和 资料 的 能 力 称 为 存储 功能 ,包括 物理 存储 和 逮 辑 存储 两 种 形式 ,物理 存储 是 将 信息 存储 在 
适当 的 物理 介质 上 ,而 逻辑 存储 是 按照 信息 的 内 在 联系 将 其 组 织 成 一 定 的 结构 来 存储 和 
使 用 。 

4. 信息 的 输出 功能 

信息 系统 的 各 种 功能 都 是 为 了 保证 最 终 实 现 最 佳 的 输出 功能 。 衡 量 信息 系 统 的 有 效 性 
关键 不 在 于 信息 的 输入 处理、 存储 等 环节 ,而 在 于 信息 输出 的 实效 ,精度 和 数量 能 否 充 分 满 
足 信息 系统 的 用 户 需求 。 信 息 的 输出 还 要 根据 信息 的 特点 ,选择 合适 的 输出 媒体 、 输 出格 
式 、 输 出 方式 ,以 保证 信息 传递 便捷 准确 、 使 用 方便 以 及 满足 保密 需要 等 。 

5. 信息 的 控制 功能 

对 构成 系统 的 各 种 信息 处 理 设备 进行 控制 和 管理 ,对 整个 信息 加 工 \ 处理、 传输 、 输 出 等 
环节 通过 各 种 程序 进行 控制 ,保证 系统 安全 .有 序 地 运行 。 


1.3 信息 系统 安全 


信息 系统 是 企业 和 国家 的 宝贵 资源 ,也 是 竞争 对 手 和 敌对 势力 攻击 的 对 象 。 随 着 互联 
网 的 迅速 发 展 ,网 络 安全 形势 也 愈加 严峻 ,病毒 ,木马 等 恶意 程序 以 爆发 式 的 形态 增长 ,泛滥 
于 整个 互联 网 领域 。 信 息 系统 的 安全 性 也 成 为 全 球 性 的 社会 问题 ,是 当前 信息 系统 建设 的 
重 中 之 重 。 


1.3.1 信息 系统 安全 的 概念 


安全 是 相对 威胁 来 说 的 ,或 者 说 ,安全 是 使 系统 免 于 威胁 的 一 种 状态 。 有 人 直接 将 其 解 
释 为 “客观 上 不 存在 威胁 ,主观 上 不 存在 恐惧 ”。 反 过 来 说 ,如 果 * 客 观 上 存在 威胁 ,主观 上 存 
在 恐惧 ”就 是 不 安全 的 。 因 此 ,信息 系统 安全 即 是 一 种 系统 客观 上 不 存在 威胁 ,用 户主 观 上 
不 存在 恐惧 的 安全 状态 。 信 息 系统 安全 学 科 就 是 研究 如 何 应 对 各 种 威胁 保障 系统 安全 性 的 
一 门 科学 。 

信息 系统 安全 目前 还 没有 一 个 权威 公认 的 解释 和 标准 的 定义 ,一 个 基本 的 理由 就 是 信 
息 系统 安全 的 概念 是 随 着 信息 系统 的 发 展 , 随 着 信息 系统 在 社会 生活 中 的 地 位 的 变化 , 随 着 
人 们 对 信息 系统 安全 的 重视 和 理解 不 断 深化 的 。 

1994 年 ,我 国 国务 院 发 布 了 (中华 人民 共和 国 计 算 机 信息 系统 安全 保护 条 例 》。 根 据 该 
条 例 ,信息 系统 安全 是 指 :“ 保 障 计算 机 及 其 相关 的 和 配套 的 设备 .设施 ( 含 网 络 ) 的 安全 以 
及 运行 环境 的 安全 .保障 信息 的 安全 ,保障 计算 机 功能 的 正常 发 挥 ,以 维护 计算 机 信息 系统 
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的 安全 运行 。” 

一 般 来 说 ,多 数 人 倾向 于 把 信息 系统 安全 的 概念 分 为 3 个 层次 : 通信 保密 (Communication 
Security) .信息 防护 (Information Protection) 和 信息 保障 (Information Assurance) 。 

1. 基于 通信 保密 的 信息 系统 安全 

信息 保密 的 基本 技术 是 加 密 , 目 的 是 控制 信息 共享 的 范围 ,保障 信息 传递 过 程 中 的 机 密 
性 。 密 码 技 术 最 早 因 战争 中 的 情报 传递 而 诞生 ,并 在 军事 和 市 场 竞争 以 及 外 交 活 动 的 推动 
下 ,在 加 密 与 解密 之 间 的 相互 博弈 中 不 断 发 展 。 早 期 的 信息 保密 技术 中 比较 著名 的 是 公元 
一 世纪 ,凯撒 CCaesar) 大 帝 使 用 过 的 单字 母 替 代 密 码 , 称 为 Caesar 密码 ,是 最 早 的 换 位 密 
码 。 之 后 又 有 很 多 人 对 密码 技术 做 出 很 大 贡献 ,值得 一 提 的 是 19 世纪 德国 发 明 家 亚 瑟 发 明 
了 加 密 机 器 Enigma', 该 加 密 机 是 当时 最 可 靠 的 加 密 系统 ,将 人 类 从 手工 编写 密码 的 繁重 劳 
动 中 解放 出 来 。 直 到 计算 机 出 现 之 前 ,密码 学 一 直 是 通信 和 领域 研究 的 课题 。 计 算 机 的 出 现 
及 其 发 展 大 大 提高 了 运算 能 力 , 计 算 机 时 代 的 信息 保密 随 之 而 来 ,开始 出 现 了 对 称 密 钥 体 系 
和 不 对 称 密 钥 体系 。 

2. 基于 信息 系统 防护 的 信息 系统 安全 

信息 安全 是 在 机 密 性 的 基础 上 ,把 信息 安全 的 内 涵 扩 充 到 完整 性 、 可 用 性 、 真 实 性 和 可 
控 性 。 它 是 一 种 被 动 的 防御 思想 ,所 以 也 称 为 信息 (系统 ) 防 护 ,具体 目标 是 : 

。 系统 保护 一 一 对 设施 和 技术 系统 可 靠 性 、 完 整 性 和 可 用 性 的 保护 。 

。 信息 内 容 保护 一 一 保护 系统 中 数据 的 机 密 性 、 完 整 性 和 可 用 性 。 

信息 安全 的 被 动 防御 还 体现 在 这 些 概念 是 从 教训 中 总 结 出 来 的 ,也 是 在 计算 机 诞生 后 
的 信息 处 理 实践 中 完善 起 来 的 。 这 个 概念 的 形成 经 历 了 计算 机 安全 、 计 算 机 网 络 安全 两 个 
阶段 。 

3. 基于 信息 保障 的 信息 系统 安全 

信息 保障 的 思想 是 在 1995 年 美国 国防 部 提出 的 PDR(Protection-Detection-Response， 
防护 一 检测 一 响应 ) 模 型 中 体现 出 来 的 ,信息 保障 的 概念 也 是 在 PDR 模型 的 不 断 完 善 中 发 
展 的 。 随 着 主动 防御 思想 的 深入 发 展 , 信 息 系统 安全 的 研究 也 从 不 惜 一 切 代价 把 入 侵 者 阻 
挡 在 系统 之 外 的 被 动 防御 ,开始 转变 为 强调 信息 系统 在 受到 攻击 的 情况 下 稳定 运行 能 力 。 
1998 年 ,美国 国家 安全 局 在 其 研究 成 果 《( 信 息 保障 技术 框架 ) 中 提出 了 基于 PDR 的 PDRR 
(Protect-Detect-React-Restore) 主动 防御 模型 。 PDRR 是 一 种 运用 “纵深 防卫 策略 ”的 模型 ， 
它 在 防卫 、 检 测 .响应 之 后 又 增加 了 恢复 功能 ,恢复 是 指使 系统 具有 很 快 的 恢复 能 力 。 一 个 
系统 能 够 在 受到 攻击 以 后 ,迅速 地 恢复 工作 能 力 , 或 者 不 损失 工作 能 力 , 就 很 好 地 避免 了 处 
于 被 动 拨打 的 境地 。 信 息 系 统 在 面临 各 种 威胁 与 攻击 时 ,有 两 种 选择 : 攻击 发 生前 做 出 调 
整 或 攻击 发 生 后 进行 再 调整 。 可 见 ,基于 主动 防御 的 信息 系统 保障 思想 对 我 们 的 社会 是 多 
么 重要 。 

大 量 研究 发 现 ,信息 系统 本 身 就 充满 动态 性 。 例 如 ,信息 系统 的 需求 是 动态 的 ,安全 漏 
洞 具有 动态 性 ,系统 建设 是 动态 的 ,网 络 拓扑 也 是 动态 的 。 这 些 动态 的 因素 要 求 网 络 的 防御 
也 必须 是 动态 的 。 信 息 系统 的 安全 防护 除了 应 采取 加 密 、 访 问 控制 和 防火 墙 外 ,还 应 当 动态 
地 检测 和 监控 网 络 ,利用 相关 检测 攻击 了 解 和 评估 当前 系统 的 安全 状态 ,发 现 新 的 威胁 和 弱 
点 ,并 通过 循环 反馈 及 时 做 出 响应 ,将 信息 系统 调整 到 “最 安全 "和 “风险 最 低 ” 的 状态 。 
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信息 保障 强调 信息 系统 整个 生命 周期 的 防御 和 恢复 ,同时 安全 问题 的 出 现 和 解决 方 
案 超 越 了 纯 技 术 范 畴 。 为 了 确保 信息 系统 的 可 用 性 、 完 整 性 、 机 密 性 、 可 控 性 、 不 可 否认 
性 等 特性 ,仅仅 靠 技术 是 难以 奏效 的 。 所 以 信息 安全 保障 要 依赖 于 人 、 技 术 、 管 理 三 者 共 

本 书 中 将 信息 系统 安全 定义 为 : 确保 以 电磁 信号 为 主要 形式 的 ,在 计算 机 网 络 化 (开放 
互联 ) 系 统 中 进行 自动 通信 、 处 理 和 利用 的 信息 内 容 , 在 各 个 物理 位 置 .逻辑 区 域 . 存 储 和 传 
输 介质 中 ,处 于 动态 和 静态 过 程 中 的 机 密 性 、 完 整 性 、 可 用 性 、 可 审查 性 和 抗 抵 赖 性 ,与 人 、 网 
络 \ 环 境 有 关 的 技术 安全 ,结构 安全 和 管理 安全 的 总 和 。 其 中 人 指 的 是 信息 系统 的 主体 , 包 
括 各 类 用 户 、 支 持 人 员 以 及 技术 管理 和 行政 管理 人 员 ; 网 络 是 指 计算 机 、 网 络 互 连 设备 、 传 
输 介质 、 信 息 内 容 及 其 操作 系统 、 通 信人 协议 和 应 用 程序 所 构成 的 物理 的 与 逻辑 的 完整 体系 ; 
环境 指 系统 稳定 和 可 靠 运行 所 需要 的 保障 体系 ,包括 建筑 物 . 机 房 、 动 力 保障 与 备份 以 及 应 
急 与 恢复 体系 。 

从 系统 过 程 与 控制 角度 讲 , 信 息 系统 安全 就 是 信息 在 存 取 、 处 理 、 集 散 和 传输 中 保持 其 
机 密 性 、 完 整 性 、 可 用 性 、 可 审计 性 和 抗 抵赖 性 的 系统 辨识 控制 .策略 和 过 程 。“ 系 统 辨 识 ” 
主要 研究 系统 数学 模型 的 建立 、 模 型 类 型 的 确定 、 高 精度 参数 的 估计 方法 等 。“ 控 制 " 是 指 信 
息 系统 能 够 根据 变化 进行 调整 ,调整 的 方向 和 目标 是 保持 风险 处 于 可 接受 范围 ,并 且 逐 步 降 
至 最 低 , 从 而 保持 系统 动态 平衡 的 状态 。 针 对 信息 系统 所 面临 的 各 种 威胁 及 系统 脆弱 性 ， 
通过 风险 分 析 ,确定 安全 目标 和 安全 等 级 ,进而 建立 安全 模型 ,提出 控制 “策略 ”, 并 对 信 
息 系统 安全 进行 评估 ,制定 安全 保障 和 安全 仲裁 等 对 策 。“ 过 程 ” 指 信息 系统 状态 的 变化 
在 空间 上 的 延伸 和 时 间 上 的 持续 。 过 程 和 状态 不 可 分 割 , 两 者 相互 依存 ,相互 作用 和 相 
互 制约 。 

上 述 定义 源 于 两 种 研究 方法 : 一 是 将 信息 系统 的 安全 作为 状态 来 研究 ; 二 是 将 信息 系 
统 的 安全 作为 对 状态 的 控制 调节 来 研究 ,控制 调节 的 目的 是 使 系统 安全 稳定 在 某 一 可 控 的 
特定 状态 内 。 


1.3.2 信息 系统 安全 研究 的 内 容 


信息 系统 安全 问题 伴随 着 信息 技术 在 企业 、 政 府 及 社会 各 个 角落 的 普及 而 日 益 突出 , 信 
息 系统 安全 研究 的 重点 , 则 伴随 着 网 络 安全 隐患 的 不 断 暴 露 和 安全 知识 的 深化 在 不 断 调整 。 
从 经 典 的 密码 学 到 新 兴 的 反 黑 防毒 技术 ,无 不 渗透 着 这 样 一 个 道理 : 信息 系统 的 安全 方 兴 
未 艾 、 任 重 道 远 。 下 面 针 对 当前 信息 系统 安全 研究 的 主要 内 容 和 领域 做 出 总 结 , 对 几 大 研究 
热点 分 别 予 以 剖析 。 

导致 信息 系统 的 不 安全 因素 包括 以 下 几 种 : 

(1) 网 络 的 开放 性 。 网 络 支持 信息 共享 ,所 以 其 最 大 的 特点 是 对 外 开放 ,而 用 户 众 多 、 
良 劳 不 齐 , 从 而 导致 误 用 、 滥 用 甚至 恶意 破坏 的 情况 发 生 。 

(2) 信息 系统 本 身 存在 着 脆弱 性 。 黑 客 或 恶意 破坏 者 会 利用 系统 不 规范 的 安全 配置 或 
者 错误 的 配置 打开 入 侵 系 统 的 缺口 。 用 户 的 误 操作 或 不 恰当 使 用 会 造成 不 安全 的 后 果 其 至 
会 导致 系统 骨 溃 。 网 络 传输 协议 自身 的 弱点 容易 造成 信息 泄密 。 

(3) 管理 者 不 重视 系统 的 安全 管理 。 即 使 有 了 很 详细 的 安全 解决 方案 ,但 如 果 管 理 混 
乱 、 技 术 粗 糙 , 不 及 时 更 新 、 修 补 旧 的 漏洞 等 ,就 会 使 得 安全 解决 方案 形同虚设 。 
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事实 表明 , 绝 大 多 数 信息 系统 发 生 的 不 安全 事件 都 可 以 从 上 述 几 点 因素 中 找 出 原因 。 
因此 ,努力 寻找 解决 这 些 不 安全 因素 的 方法 ,提高 安全 管理 水 平成 为 目前 信息 系统 安全 研究 
的 热点 。 具 体 来 说 ,包括 如 下 几 个 方面 : 

(1) 安全 体系 结构 与 技术 的 研究 。 

安全 体系 结构 理论 主要 研究 如 何 利 用 形式 化 的 数学 描述 和 分 析 方 法 建立 信息 系统 的 安 
全 体系 结构 模型 。 

(2) 安全 协议 理论 与 技术 的 研究 。 

众所周知 ,TCP/IP 协议 以 及 基于 TCP/IP 的 HTTP、FTP 等 都 存在 着 不 安全 的 问题 。 
因此 致力 于 提高 改进 这 些 协议 的 安全 性 甚至 创新 的 安全 协议 始终 是 人 们 妃 求 的 目标 。 目 
前 ,安全 协议 理论 和 技术 的 研究 主要 包括 协议 的 安全 性 分 析 方 法 和 各 种 实用 安全 协议 的 设 
计 与 分 析 。 

协议 的 安全 性 分 析 方 法 主要 有 两 类 : 一 类 是 攻击 检验 法 ,通过 使 用 各 种 有 效 攻击 方法 ， 
逐一 对 使 用 安全 协议 的 系统 进行 攻击 ,以 检验 安全 协议 抵抗 攻击 的 能 力 , 这 种 分 析 方法 的 难 
点 在 于 攻击 方法 的 设计 和 选择 ; 另 一 类 是 形式 化 分 析 方 法 , 即 采用 各 种 形式 化 的 语言 或 者 
模型 ,建立 安全 协议 模型 ,并 按照 规定 的 假设 和 分 析 、 验 证 方法 等 来 证 明 协 议 的 安全 性 。 目 
前 形式 化 分 析 方 法 是 安全 协议 研究 中 的 热点 之 一 ,但 是 就 其 实用 性 来 说 ,还 没有 什么 突破 性 
的 进展 ,主要 原因 是 协议 安全 性 的 形式 化 过 程 比较 困难 。 

安全 性 协议 的 形式 化 分 析 方 法 可 以 概括 为 如 下 几 个 研究 思路 : 

。 基于 推理 知识 和 信任 的 模 态 逻辑 来 建立 所 分 析 协 议 的 安全 需求 模型 。 

。 基于 状态 搜索 工具 和 定理 证 明 技术 证 明 协 议 的 正确 性 。 

。 设计 专门 的 专家 系统 来 制定 协议 的 校 验 方案 并 进行 协议 检验 。 

。 基于 密码 学 系统 的 代数 特性 开发 协议 的 形式 化 模型 。 

抛 开 复杂 的 形式 化 分 析 方 法 不 说 ,许多 实用 协议 已 经 作为 安全 性 协议 获得 了 实际 应 用 。 
虽然 在 理论 上 证 明 它们 的 安全 性 还 有 很 长 的 路 要 走 , 但 是 实际 应 用 效果 却 不 差 。 实 用 安全 
协议 的 安全 性 分 析 特 别 是 PKI、IPSec、TLS 等 是 当前 协议 研究 中 的 热点 。 

(3) 信息 系统 安全 监控 与 保护 技术 的 研究 。 

信息 系统 安全 监控 和 保护 技术 可 以 说 是 目前 安全 研究 中 与 实际 结合 最 紧密 的 一 个 领 
域 , 也 是 一 个 热点 领域 。 因 为 其 研究 成 果 可 以 立即 与 实际 网 络 产品 结合 而 产生 经 济 效益 ,所 
以 相关 组 织 和 企业 会 不 遗 余力 地 投入 。 在 此 领域 的 研究 主要 包括 安全 整体 解决 方案 的 分 析 
与 设计 、 安 全 产品 的 研发 等 。 

信息 系统 安全 监控 是 为 了 保障 系统 免 受 外 来 干扰 和 破坏 而 对 其 实施 的 安全 保护 措施 。 
黑客 人 侵 手段 分 析 、 信 息 伪装 与 隐 写 理论 和 技术 .信息 分 析 与 监控 .入侵 检测 原理 与 报警 技 
术 、 系 统 脆 弱 性 扫描 检测 技术 、 应 急 恢复 系统 、 计 算 机 病毒 防范 等 都 属于 网 络 安全 监控 技术 
的 范畴 。 其 中 部 分 研究 成 果 已 经 成 为 众多 安全 工具 软件 的 基础 。 

网 络 保护 技术 主要 是 指 网 络 访问 控制 和 审计 管理 技术 ,包括 防火 墙 . 路 由 器 .代理 服务 
器 访问 日 志 等 。 网 络 保护 技术 的 特点 是 由 硬件 结合 软件 实现 。 

(4) 密码 学 及 密码 技术 的 研究 。 

密码 学 是 研究 数据 加 解密 算法 的 一 门 科学 。 密 码 学 及 密码 技术 是 保障 信息 系统 安全 最 
基本 的 技术 手段 。 
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当前 密码 技术 研究 可 以 分 为 两 大 趋势 ,其 中 基于 数学 计算 的 传统 密码 学 和 密码 技术 仍 
是 主流 。 传 统 的 密码 学 与 密码 技术 基于 数学 计算 理论 ,从 原理 上 可 分 为 经 典 密码 算法 、 对 称 
密码 算法 和 非 对 称 密码 算法 。 密 码 学 是 认证 技术 的 理论 基础 。 认 证 理论 和 数字 签名 技术 从 
20 世纪 80 年 代 后 期 起 取得 了 长 足 的 发 展 ,仍然 是 当前 研究 热点 之 一 。 数 字 签 名 和 身份 认 
证 都 有 自己 的 研究 体系 ,形成 了 各 自 的 理论 框架 。 目 前 数字 签名 的 研究 内 容 非 常 丰富 ,包括 
普通 签名 和 特殊 签名 。 在 身份 认证 的 研究 中 ,最 令 人 瞩目 的 认证 方案 有 两 类 : 一 类 是 1984 
年 Shamir 提出 的 基于 身份 的 识别 方案 , 另 一 类 是 1986 年 Fiat 等 人 提出 的 零 知 识 身份 识别 
方案 。 随 后 人 们 在 这 两 类 方案 的 基础 上 又 提出 了 一 系列 实用 的 身份 识别 方案 。 目 前 人 们 所 
关注 的 是 身份 认证 方案 与 具体 应 用 环境 的 有 机 结合 。 

但 是 , 随 着 计算 机 运算 速度 和 生物 识别 理论 的 进步 ,各 种 基于 非 数 学 计算 的 密码 技术 相 
继 出 现 , 如 量子 密码 ,混沌 理论 .DNA 密码 以 及 基于 特征 识别 的 指纹 、 视 网 膜 、 虹 膜 、 面 部 特 
征 与 语音 特征 识别 技术 等 。 

(5) 信息 系统 安全 风险 评估 的 研究 。 

信息 系统 安全 风险 评估 是 风险 评估 理论 在 计算 机 信息 系统 安全 领域 的 延伸 。 风 险 评估 
是 信息 系统 安全 保证 的 关键 技术 ,主要 研究 内 容 包括 信息 系统 安全 风险 评估 的 理论 框架 和 
标准 ,以 及 模型 .技术 和 方法 等 。 


1.3.3 信息 安全 与 信息 系统 安全 


信息 安全 泛 指 一 切 以 电信 号 、 磁 信号 ,语音 等 为 裁 体 的 信息 在 输入 、 输 出 、 分 类 ,检索 , 排 
序 、 传 输 和 共享 中 的 安全 ,一 般 也 包括 以 磁 介质 、 纸 介质 、 无 线 信道 及 有 线 信道 为 媒体 的 信 
息 。 信 息 系 统 安全 指 的 是 信息 系统 的 安全 ,而 非 信息 的 系统 安全 。 就 一 般 意 义 上 讲 ,信息 安 
全 与 信息 系统 安全 是 包含 与 被 包含 的 关系 ,信息 系统 安全 是 信息 安全 的 一 部 分 ,信息 安全 具 
有 更 普遍 ,更 广泛 的 含义 。 

信息 安全 问题 和 信息 系统 安全 问题 是 信息 化 初期 常常 争论 的 两 个 热点 ,也 是 常常 被 混 
消 的 概念 。 信 息 安全 涉及 信息 的 采集 ,传输 ,保管 .访问 的 全 过 程 ,信息 安全 问题 是 指 一 个 组 
织 中 不 当 的 信息 传递 和 非法 使 用 。 信 息 系统 是 由 计算 机 及 其 相关 的 和 配套 的 设备 .设施 构 
成 的 ,按照 一 定 的 应 用 目标 和 规划 实现 对 信息 进行 采集 、 加 工 、 存 储 、 检 索 等 功能 的 系统 。 信 
息 系 统 安全 问题 是 信息 在 信息 系统 中 传输 、 保 管 过 程 中 可 能 存在 的 各 种 被 非法 访问 的 问题 
集合 ,例如 ,未 设置 防火 墙 可 能 导致 的 黑客 人 侵 , 未 关闭 可 能 遭受 攻击 的 访问 端口 ,未 设置 数 
据 备份 策 略 ,系统 管理 员 权限 未 经 过 划分 等 。 总 的 来 说 ,信息 系统 安全 问题 源 自 于 未 采取 恰 
当 的 安全 防护 技术 ,以 及 对 信息 系统 的 管理 存在 隐患 。 

根据 信息 安全 问题 的 定义 ,信息 系统 安全 问题 主要 集中 在 信息 通过 信息 系统 进行 传导 
和 保管 的 过 程 中 ,只 是 信息 安全 问题 的 中 间 环 节 ,信息 系统 安全 管理 措施 , 主要 是 围绕 信息 
系统 本 身 ,而 信息 安全 问题 则 涵盖 了 信息 从 采集 到 访问 的 全 过 程 ,信息 安全 的 管理 问题 包括 
了 对 信息 的 使 用 者 和 信息 系统 的 操作 者 的 管理 。 由 于 信息 的 使 用 主体 是 人 ,信息 系统 则 是 
生产 工具 ,最 终 使 用 和 管理 的 主体 也 是 人 ,因此 ,承担 信息 安全 问题 的 主体 是 : 采集 、 使 用 信 
息 的 全 体 员工 ,包括 信息 系统 的 全 部 用 户 和 系统 管理 人 员 。 


第 1 章 概 述 1 


1.4 本 章 小 结 


信息 、 材 料 和 能 源 是 人 类 社会 赖 以 生存 和 发 展 的 基础 ,在 现代 信息 化 社会 里 ,我 们 的 一 
切 活动 都 离 不 开 对 信息 的 获取 和 处 理 ,信息 作为 一 种 无 形 资产 已 经 成 为 人 类 的 宝贵 财富 。 
而 信息 系统 作为 信息 采集 ,存储 加 工分 析 和 传输 的 工具 ,已 经 成 为 社会 发 展 的 重要 战略 资 
源 , 信 息 系 统 的 安全 问题 在 信息 化 社会 发 展 中 越 来 越 突出 、 越 来 越 重 要 ,已 经 成 为 社会 发 展 
中 固有 的 重要 问题 ,已 关乎 国家 政治 稳定 ,经 济 的 发 展 、 文 化 的 繁荣 和 国防 的 建设 。 本 章 主 
要 讲 了 信息 的 含义 和 特性 ,进而 分 析 信息 系统 的 概念 ,发 展 与 功能 ,最 后 引出 信息 系统 安全 
的 概念 及 主要 研究 内 容 , 这 些 基 础 理论 为 后 面 章节 中 提出 的 信息 系统 安全 防护 、 避 免 安全 威 
胁 和 不 安全 因素 以 及 应 用 防范 措施 等 起 指导 性 作用 。 


1.5 习 题 


. 简 述 信息 .消息 、 信 号 的 区 别 与 联系 。 

. 消息 的 含义 是 什么 ? 

.信息 的 特性 有 哪些 ” 试 举例 说 明 。 

. 查找 相关 文献 了 解 信息 科学 的 3 大 基础 理论 。 

. 信息 系统 的 主要 类 型 有 哪些 ? 各 具有 什么 功能 ? 

.信息 系统 安全 的 概念 是 什么 ? 

. 影响 信息 系统 安全 的 主要 因素 有 哪些 ? 

. 查阅 相关 资料 了 解 信息 系统 安全 领域 的 最 新 研究 进展 。 
. 简 述 信息 安全 、 网 络 安全 与 信息 系统 安全 的 区 别 与 联系 。 
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20 世纪 90 年 代 以 来 ,伴随 Internet 在 全 球 的 普及 , 越 来 越 多 的 组 织 将 其 业务 过 程 转移 
或 扩展 到 Internet 环境 下 ,与 业务 密切 相关 的 信息 系统 安全 的 重要 性 受到 广泛 关注 。 面 对 
各 种 网 络 攻击 ,病毒 侵袭 及 内 部 人 员 误 用 等 ,已 有 的 各 种 安全 解决 方案 仍然 不 能 保证 系统 的 
整体 安全 等 级 。 信 息 系 统 安全 工程 的 思想 由 此 产生 了 。 


2.1 ISSE 概述 


2.1.1 ISSE 的 基本 概念 


信息 系统 安全 工程 (Information System Security Engineering) ,简称 ISSE ,是 侧重 于 信 
息 安 全 的 应 用 系统 工程 。ISSE 是 由 NSA 提出 的 为 信息 系统 提供 安全 保障 的 系统 工程 技 
术 , 它 用 在 设计 和 实现 信息 系统 的 过 程 中 。ISSE 是 IATF 中 的 重要 组 成 部 分 。IATF 是 由 
美国 政府 和 工业 界 联 合 提 出 的 信息 保障 技术 框架 。 此 框架 全 面 地 概括 了 所 有 与 信息 系统 安 
全 问题 相关 的 方面 ,包括 系统 工程 、 骨 十 网、 本 地 计算 环境 、 边 界 连接 支持 系 统 等 。ISSE 为 
框架 的 其 他 部 分 提供 了 工程 实现 保障 ,是 整个 框架 得 以 正确 ,完整 实施 的 基础 。 

ISSE 作为 一 种 系统 工程 技术 ,不 仅 可 以 用 来 设计 和 实现 独立 的 软 硬 件 系统 ,还 能 为 集 
成 的 计算 机 系统 的 设计 和 重 构 提供 服务 。ISSE 与 设计 者 和 工程 人 员 提 供 的 设计 要 素 , 以 及 
面向 开发 者 ,管理 者 .用 户 的 接口 相 结合 ,在 投资 额度 的 限制 下 ,使 整体 系统 获得 最 大 的 安全 
性 能 。 

ISSE 是 这 样 的 过 程 : 它 解 决 用 户 的 信息 保障 需求 ,是 系统 工程 学 、 系 统 采购 、 风 险 管 
理 , 认 证 和 认可 以 及 生命 周期 安全 的 一 部 分 。 它 是 系统 工程 过 程 的 自然 扩展 。 这 些 过 程 都 
有 公共 要 素 : 发 现 需求 .定义 系统 功能 .设计 系统 单元 .开发 和 安装 系统 .评估 系统 有 效 性 、 
系统 采购 、 风 险 管理 ,认证 和 认可 、 生 命 期 安全 等 。ISSE 过 程 以 使 信息 系统 安全 成 为 系统 工 
程 和 系统 获取 过 程 整体 的 必要 部 分 为 目的 ,保证 用 户 目 标的 实现 ,提供 了 有 效 的 安全 措施 以 
满足 用 户 需求 ,ISSE 过 程 将 信息 系统 安全 的 安全 选项 集成 到 系统 工程 中 以 获得 最 优 的 信息 
系统 安全 解决 方案 。 

具体 地 说 ,信息 系统 安全 工程 是 指 将 专门 的 安全 技术 (如 通信 和 安全、 计算 机 安全 和 网 络 
安全 技术 等 ) 应 用 于 信息 系统 生命 周期 的 各 个 阶段 ,以 保证 组 织 对 信息 系统 的 需求 按照 可 行 
的 安全 策略 得 到 满足 ,并 使 信息 系统 能 够 抵御 可 感知 的 威胁 。ISSE 的 工作 范围 包括 : 寻找 
与 安全 有 关 的 设计 要 素 ,进行 安全 系统 的 预 设计 ,设计 安全 系统 规范 ,辅助 详细 设计 ,检查 详 
细 设 计 文档 ,评估 方案 与 安全 规范 的 一 致 性 ,推荐 满足 安全 条 件 的 部 件 ,检查 系统 安装 ,设置 
性 能 测试 等 。ISSE 将 有 助 于 开发 可 满足 用 户 信 息 保 护 需求 的 系统 产品 和 过 程 解决 方案 , 同 
时 ,ISSE 也 非常 注重 标识 、 理 解 和 控制 信息 保护 风险 并 对 其 进行 优化 。 

信息 系统 安全 工程 涉及 一 个 综合 的 系统 工程 环境 中 与 信息 系统 安全 工程 实践 相关 的 各 


第 2 章 信息 系统 安全 工程 ISSE 及 周期 模型 15 


个 方面 。 为 了 使 信息 系统 安全 具有 可 实现 性 ,必须 把 信息 系统 安全 集成 在 系统 生命 周期 的 
安全 工程 实施 过 程 中 ,并 与 环境 需求 ,业务 需求 项 目 计划 、 成 本 效益 、 国 家 政策 和 标准 等 保 
持 一 致 性 。 这 种 集成 过 程 产生 了 一 个 信息 系统 安全 工程 过 程 ,此 过 程 可 以 确认 评估、 控制 
和 消除 假定 的 或 已 知 的 安全 威胁 可 能 引起 的 安全 风险 ,最 终 得 到 一 个 可 接受 的 安全 风险 
等 级 。 


2.1.2 ISSE 的 内 酒 


ISSE 是 系统 工程 和 方法 论 ,是 系统 安全 工程 (System Security Engineering ,SSE) 系统 
工程 (System Engineering, SE) 和 系统 获取 (System 
Acquisition,SA) 在 信息 系统 安全 方面 的 具体 体现 ,是 
系统 工程 和 系统 建设 的 必 不 可 少 的 组 成 部 分 ,是 对 系 
统 工 程 生命 周期 的 安全 风险 控制 。ISSE 并 不 是 一 个 独 
立 的 过 程 , 它 依 赖 并 支持 系统 工程 ,而 且 是 后 者 不 可 分 
割 的 一 部 分 。 如 图 2. 1 所 示 。 

ISSE 是 系统 工程 的 子 部 分 , 它 贯 穿 于 系统 工程 的 
全 过 程 , 旨 在 对 信息 进行 保护 。ISSE 的 主要 工作 最 终 
体现 如 下 图 2.1 1SSE 与 系统 工程 和 系统 获取 

Q1) 描述 并 分 析 用 户 信息 保障 需求 。 和 

(2) 在 系统 工程 过 程 早期 ,基于 需求 生成 信息 保障 
的 要 求 。 

(3) 确定 信息 保护 的 级 别 。 

(4) 以 一 个 可 接受 的 信息 保障 的 风险 水 准 来 满足 要 求 。 

(5) 建立 一 个 基于 要 求 的 功能 性 的 信息 保障 体系 。 

(6) 根据 物理 体系 结构 和 逻辑 体系 结构 分 配 信息 保护 的 具体 功能 。 

(7) 设计 系统 ,实现 功能 构架 。 

(8) 部 署 信息 保障 体系 。 

(9) 根据 系统 的 成 本 .进度 和 操作 的 适宜 性 及 有 效 性 等 因素 ,平衡 信息 保障 风险 管理 和 
其 他 ISSE 事项 。 

(10) 研究 与 其 他 的 信息 保障 和 系统 工程 原则 如 何 进行 权衡 。 

(11) 将 ISSE 过 程 与 系统 工程 和 需求 过 程 相 结合 。 

(12) 测试 系统 ,核实 信息 保障 的 设计 ,验证 是 否 达到 设计 要 求 和 信息 保障 要 求 。 

(13) 在 实施 完成 后 进行 用 户 支 持 , 并 根据 其 需求 进行 调整 。 


2.2 信息 系统 安全 工程 生命 周期 


在 信息 系统 安全 工程 的 每 个 主要 阶段 及 其 子 阶 段 中 ,都 要 反复 运用 系统 工程 过 程 ,包括 
需求 分 析 、 功 能 分 析 、 综 合 分 析 、 系 统 分析 与 控制 。 因 此 ,在 信息 系统 安全 工程 生命 周期 中 完 
成 过 程 实施 需求 (包括 安全 需求 ) 时 ,就 能 有 效 地 运用 系统 工程 的 基本 原则 。 
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在 系统 获取 过 程 中 ,信息 系统 安全 工程 生命 周期 事件 与 系统 获取 的 主要 阶段 之 间 的 对 
应 关系 不 一 定 是 固定 不 变 的 。 表 2. 1 表示 的 是 系统 获取 和 信息 系统 安全 工程 各 阶段 的 其 中 
一 种 典型 的 对 应 关系 。 
表 2.1 系统 获取 和 信息 系统 安全 工程 各 阶段 的 典型 对 应 关系 


系统 获取 各 阶段 信息 系统 安全 工程 各 阶段 
先期 概念 阶段 先期 概念 阶段 
概念 研究 和 定义 阶段 概念 阶段 
er 需求 阶段 
验证 和 证 实 阶 段 系统 设计 阶段 
初步 设计 阶段 
工程 和 制造 阶段 详细 设计 阶段 
实现 和 测试 阶段 
生产 和 部 署 阶段 配置 审计 阶段 
运行 和 支持 阶段 运行 和 支持 阶段 


信息 系统 安全 工程 生命 周期 主要 包括 9 个 阶段 : 先期 概念 阶段 .概念 阶段 ,需求 阶段 、 
系统 设计 阶段 .初步 设计 阶段 .详细 设计 阶段 、 实 现 和 测试 阶段 .配置 审计 阶段 .运行 和 支持 
阶段 。 下 面 将 对 信息 系统 安全 工程 的 每 一 阶段 做 详细 介绍 。 

1. 先期 概念 阶段 

先期 概念 阶段 的 目的 是 确定 用 户 的 任务 需求 ,指出 开始 构建 一 个 信息 系统 应 具备 的 安 
全 能 力 ,考察 任 务 和 分 析 任务 。 此 阶段 与 系统 获取 中 的 先期 概念 阶段 基本 一 致 ,都 是 确认 任 
务 要求 。 

在 先期 概念 阶段 结束 时 要 提出 一 份 有 效 的 任务 需求 说 明 (Mission Needs Statement， 
MNS) 。MNS 通常 由 用 户 和 ISSE 人 员 起 草 。MNS 作为 系统 获取 过 程 生成 的 需求 文档 和 
规范 的 出 发 点 ,要 能 真正 反映 出 需求 的 业务 能 力 , 因 此 需要 仔细 的 考虑 ,但 是 也 要 避免 过 于 
详细 地 暗示 某 种 方案 。MNS 中 的 内 容 不 一 定 能 完全 实现 , 它 只 是 一 个 目标 。 先 期 概念 阶段 
涉及 安全 的 活动 如 下 : 

(1) 根据 如 下 活动 ,确定 基于 用 户 业 务 的 、 顶 层 的 安全 能 力 需求 。 

J@ 调查 运行 业务 的 问题 。 

@ 对 可 能 影响 业务 的 威胁 的 一 般 性 分 类 进行 调查 。 

@ 找 出 由 于 国家 和 地 方 安全 法 律 法 规 或 政策 造成 的 限制 。 通 常 只 需 指出 政策 标准 ,不 
必 具 体 解释 。 

@ 确认 业务 环境 安全 目标 的 原始 动力 是 业务 需要 还 是 政策 需要 。 

(2) 在 条 件 允 许 的 情况 下 ,初步 识别 责任 认可 者 。 

2. 概念 阶段 

概念 阶段 的 目标 是 探索 研究 信息 系统 概念 层面 的 安全 方案 ,确定 哪些 方案 可 能 满足 任 
务 需求 ,并 从 中 选 出 需要 进一步 讨论 的 方案 。 

概念 阶段 进一步 讨论 一 些 能 最 好 地 满足 要 求 ,均衡 调用 资源 ,恰当 地 考虑 限制 的 概念 。 
概念 阶段 主要 集中 于 评估 系统 概念 ,便于 今后 采取 措施 降低 系统 概念 上 的 风险 ,同时 使 开发 
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者 和 用 户 都 能 理解 系统 的 需求 和 问题 。 这 点 不 同 于 系统 需求 阶段 。 信 息 系 统 安全 建设 的 参 
与 各 方 进行 可 选 系 统 评审 (ASR), 对 每 个 可 能 的 代替 方案 进行 审查 ,看 其 能 否 满足 用 户 安 
全 需求 .是 否 符合 有 关 的 要 求 和 规范 ,信息 系统 有 关 的 所 有 问题 都 要 调研 ,有 冲突 的 地 方 都 
要 解决 。 

在 概念 阶段 结束 时 ,得 到 信息 系统 工程 建设 和 工程 管理 策略 ,以 及 初步 的 系统 技术 、 成 
本 ,安全 风险 方面 的 情况 。 在 下 一 阶段 将 进一步 分 析 选 出 的 系统 概念 ,并 正式 确定 系统 

在 概念 阶段 ,与 ISSE 有 关 的 主要 活动 如 下 : 

(1) 为 系统 威胁 评估 提供 数据 ,预计 系统 不 同 阶段 的 安全 威胁 。 

(2) 根据 用 户 要 求 ,提出 与 安全 有 关 的 用 户 运行 需求 描述 。 描 述 包括 使 信息 系统 安全 
运行 的 性 能 及 其 他 功能 要 求 , 也 包括 由 于 国家 、 地 方法 规 或 政策 造成 的 设计 限制 。 

(3) 根据 MNS 评估 技术 成本、 进度 、 风 险 等 内 容 ,并 为 信息 系统 提供 一 份 或 多 份 安全 
备 选 方案 。 

(4) 提供 生命 周期 安全 计划 安全 保障 计划 以 及 安全 风险 管理 计划 的 数据 。 

(5) 确定 是 否 需 要 新 的 信息 系统 安全 方面 的 技术 。 

(6) 制定 测评 认证 以 及 评估 计划 。 

(7) 对 安全 风险 进行 初步 评估 ,编写 相关 报告 。 

(8) 为 认证 与 认可 (Certification and Accreditation ,C&A) 提 供 相 关 的 资料 。 

3， 需求 阶段 

需求 阶段 的 主要 目标 是 对 概念 阶段 得 出 的 信息 系统 安全 需求 和 概念 进一步 发 展 ,生成 
一 份 正式 的 信息 系统 安全 需求 报告 ,为 信息 系统 的 设计 和 测试 做 准备 ,使 信息 系统 的 使 用 
者 、 获 取 办 事 机 构 及 系统 开发 小 组 等 对 信息 系统 的 需求 有 一 致 的 理解 。 需 求 阶段 通常 出 现 
在 新 开始 的 系统 获取 中 ,但 在 系统 出 现 重大 修改 时 也 可 能 出 现 。 

在 需求 阶段 结束 时 ,信息 系统 建设 的 各 个 参与 者 联合 提出 一 份 系统 需求 评审 (System 
Requirements Review,SRR) ,SRR 是 一 份 草案 ,内 容 包 括 系统 所 有 的 安全 需求 指标 。 

需求 阶段 比 概念 阶段 需要 更 加 严格 的 运行 需求 分 析 。 一 般 都 是 由 开发 集成 工程 业务 的 
合同 承包 商 各 负责 一 部 分 ,并 且 更 加 面向 工程 人 员 。 

在 需求 阶段 结束 时 ,要 完成 一 份 功能 基线 草案 。 正 式 的 功能 基线 包括 一 份 初步 认可 的 
文件 ,文件 不 仅 描 述 了 系统 的 功能 \ 性 能 \ 互 操作 性 、 接 口 要 求 等 ,还 给 出 了 检验 系统 是 否 达 
到 要 求 的 手段 。 如 果 之 前 需求 管理 机 制 没有 建立 ,此 时 需要 建立 。 需 求 管 理 机 制 包括 将 来 
的 需求 ,验证 和 证 实 (Verification and Validation,V&V) 针 对 系统 需求 的 设计 和 测试 资料 。 

系统 需求 评审 主要 内 容 包括 : 充分 考虑 设计 的 限制 ,确认 已 经 分 析 过 的 用 户 需求 ,并 将 
用 户 需 求 进一步 转化 为 有 效 的 系统 功能 和 性 能 需求 以 及 安全 方案 ; 评估 技术 验证 的 方法 和 
进程 ; 识别 和 量化 风险 ,对 风险 管理 活动 中 的 过 程 和 方法 进行 评估 ; 对 系统 的 关键 技术 进 
行 评估 ; 评估 并 比较 各 种 有 效 系 统 的 需求 ; 对 系统 说 明 草 案 以 及 相关 的 验证 措施 进行 
审查 。 

在 需求 阶段 ,ISSE 支持 安全 能 力 需求 ,安全 目标 、 国 家 或 地 方 的 安全 政策 等 安全 需求 必 
需 的 定义 ,是 系统 安全 能 力 满足 规定 的 要 求 。 在 需求 阶段 ,ISSE 改进 和 完善 了 先前 生成 的 
安全 需求 .新 的 系统 概念 安全 风险 评估 等 内 容 。 
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4. 系统 设计 阶段 

系统 设计 阶段 的 目的 是 完成 系统 的 顶层 设计 ,并 确定 组 成 系统 的 配置 项 (Configuration 
Items,CI) 和 系统 指标 。 它 是 正式 工程 活动 和 CI 层面 上 管理 的 开始 。 

在 系统 设计 阶段 结束 时 ,提出 一 份 系统 功能 评审 (System Functional Review,SFR ) 。 
SFR 包含 了 正式 开发 开始 前 所 必需 的 系统 指标 。 系 统 设 计 阶 段 和 以 后 的 开发 阶段 都 是 由 
系统 的 开发 小 组 来 完成 。 

SFR 的 主要 内 容 包括 : 确保 系统 功能 需求 和 性 能 需求 ,约束 条 件 、 功 能 完备 性 及 有 关 的 
限制 ,处 理 系统 工程 中 的 主要 问题 ; 评估 新 出 现 的 物理 体系 和 系统 功能 ,使 其 满足 系统 功能 
和 性 能 需求 ; 更 新 和 完善 系统 的 功能 和 指标 ; 确保 提出 的 设计 方案 满足 用 户 需 求 。 

在 系统 设计 阶段 ,与 ISSE 有 关 的 主要 活动 如 下 : 

(1) 分 析 系 统 的 安全 需求 和 配置 项 的 安全 需求 ,确保 整个 系统 的 安全 需求 都 能 得 到 
满足 。 
(2) 继续 进行 安全 设计 ,安全 设计 要 支持 系统 层次 体系 、 配 置 项 定义 、 接 口 定义 及 其 他 
产品 采购 方案 。 

(3) 完善 系统 的 安全 需求 ,检查 是 否 有 新 的 安全 威胁 并 对 威胁 重新 评估 。 

(4) 在 SFR 层次 上 ,评审 提出 的 系统 设计 安全 方案 的 技术 合理 性 。 

(5) 详细 地 确定 与 信息 系统 安全 验证 和 证 实 有 关 的 需求 和 策略 。 

(6) 进一步 考虑 与 安全 运行 和 生命 周期 安全 方面 相关 的 问题 。 

(7) 审查 系统 特有 的 安全 风险 ,必要 的 时 候 , 进 一 步 进行 评估 。 

(8) 继续 跟踪 和 完善 与 安全 相关 的 工程 管理 计划 和 策略 。 

(9) 为 认证 和 认可 提供 相关 的 材料 。 

5. 初步 设计 阶段 

在 初步 设计 阶段 , 当 开 发 新 系统 或 者 对 系统 进行 修改 时 ,系统 层面 上 的 设计 要 求 和 指标 
被 分 配 到 配置 项 层面 上 。 在 这 一 阶段 要 提供 初步 设计 评审 (Preliminary Design Review， 
PDR) 报 告 。PDR 是 基于 配置 项 层面 的 评审 ,包括 对 每 个 系统 配置 项 的 硬件 评审 和 软件 
评审 。 

PDR 主要 内 容 包括 : 找 出 在 系统 层面 上 未 考虑 的 需求 ,以 及 未 被 配置 项 组 件 完全 满足 
的 需求 ; 解决 功能 、 配 置 项 和 子 系统 方面 的 问题 ; 评审 风险 管理 ,确保 风险 在 可 接受 的 水 平 
上 ; 评估 系统 物理 体系 结构 ,确定 内 部 和 外 部 接口 和 互 操作 性 方面 的 需求 ; 识别 集成 后 的 
系统 设计 ,确保 满足 用 户 需求 及 功能 基线 需求 。 

在 初步 设计 阶段 ,需要 考虑 系统 各 方面 的 问题 ,以 及 各 问题 间 的 相互 关系 。 当 成 功 地 完 
成 了 PDR 后 ,需要 为 绝 大 多 数 系 统 配置 项 建立 分 配 基 线 。 配 置 项 的 分 配 基线 包括 了 一 些 初 
步 认 可 的 文件 ,文件 描述 了 配置 项 的 功能 、 性 能 、 互 操作 性 、 同 层 间 的 接口 要 求 、 与 上 层 的 接 
口 要 求 、 设 计 限制 ,新 的 功能 和 性 能 要 求 ,以 及 这 些 限 制 和 要 求 被 解决 后 的 验证 手段 。 此 时 
初步 设计 阶段 也 就 完成 了 。 

在 初步 设计 阶段 中 ,与 ISSE 有 关 的 活动 如 下 : 

(1) 评审 配置 项 层面 的 参数 和 接口 规范 的 定义 及 其 他 方面 的 问题 ,并 进行 改进 。 

(2) 对 购买 的 CI 或 开发 的 CI 进行 验证 ,使 其 指标 满足 系统 安全 需求 。 
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(3) 复查 现 有 的 安全 方案 ,确保 与 CI 需求 一 致 。 

(4) 为 认证 和 认可 过 程 继续 提供 资料 。 

(5) 检查 系统 各 方面 的 问题 。 

6. 详细 设计 阶段 

详细 设计 阶段 的 目标 是 完成 那些 没有 现成 品 的 配置 项 的 系统 设计 。 在 详细 设计 阶段 ， 
首先 要 完成 每 个 CI 层面 的 关键 设计 评审 (Critical Design Review ,CDR), 然 后 根据 每 个 CI 
层面 的 CDR 得 到 整个 系统 的 关键 设计 评审 , 即 系统 的 CDR。 系 统 的 CDR 通常 包括 构成 系 
统 的 各 CI 的 具体 设计 ,以 及 与 软件 和 硬件 相关 的 设计 评审 和 文件 。 在 开始 实现 最 终 系统 以 
及 测试 之 前 ,需要 考虑 到 系统 工程 各 方面 的 问题 ,以 及 各 问题 之 间 的 关系 。 这 点 与 上 一 阶段 
类 似 。 

CDR 主要 内 容 包 括 : 找 出 配置 项 和 关键 设计 都 未 解决 的 问题 ; 考虑 系统 与 其 他 系统 的 
兼容 性 ; 确定 CI 设计 和 具体 的 系统 是 完整 的 ; 确定 系统 设计 需求 .接口 需求 和 系统 限制 与 
可 验证 的 结论 保持 一 致 ,并 进行 证 明 ; 建立 每 个 CI 的 分 配 基线 。 

在 详细 设计 阶段 ,与 ISSE 有 关 的 活动 如 下 : 

(1) 检查 关键 设计 提出 的 安全 方案 的 技术 原理 。 

(2) 通过 对 关键 设计 安全 方案 .具体 的 软件 和 工程 设计 方案 的 评审 ,实现 系统 层面 和 CI 
层面 的 安全 设计 。 

(3) 生成 和 验证 信息 系统 安全 的 评估 需求 及 测试 ,包括 完整 的 系统 .软件 和 硬件 的 测试 
策略 。 

(4) 确定 每 个 CI 的 设计 及 CI 间 的 接口 设计 能 够 满足 系统 的 安全 需求 ,并 进行 证 明 。 

(5) 对 与 系统 设计 和 开发 有 关 的 安全 保障 机 构 进行 跟踪 ,并 参与 其 中 。 

(6) 完成 绝 大 部 分 生命 周期 安全 保障 方案 的 内 容 , 包 括 新 的 培训 资料 和 培训 计划 或 应 
急 培训 计划 的 有 关内 容 。 

(7) 评审 更 新 安全 风险 与 威胁 的 预测 ,同时 评审 请 求 的 任何 修改 动作 。 

(8) 提供 认证 和 认可 过 程 方面 的 资料 。 

在 系统 开发 集成 阶段 ,有 足够 的 信息 进行 全 面 的 安全 评估 。 

7. 实现 和 测试 阶段 

在 实现 和 测试 阶段 ,开发 一 个 新 系统 或 者 是 对 原 系统 进行 修改 ,都 需要 准备 好 所 有 开发 
和 非 开发 的 CI 产品 ,然后 将 所 有 CI 产品 集成 为 一 个 完整 的 系统 ,并 检查 确认 集成 的 系统 能 
够 满足 要 求 ,另外 也 要 检查 系统 进一步 的 生产 和 部 署 准备 情况 。 在 实现 和 测试 阶段 ,同时 也 
进行 一 些 非常 底层 的 设计 活动 。 

在 实现 和 测试 阶段 结束 时 ,生成 一 份 系统 验证 评审 (System Verification Review,SVR) 
报告 ,在 SVR 中 确认 所 建 的 系统 与 要 求 相 一 致 ,能 满足 任务 的 需求 。 在 此 阶段 也 要 考虑 系 
统 工程 各 方面 的 问题 ,以 及 各 问题 之 间 的 相互 关系 。 

在 实现 和 测试 阶段 ,与 ISSE 有 关 的 活动 如 下 : 

(1) 找 出 安全 方案 实现 后 系统 和 CI 的 安全 需求 与 限制 ,以 及 相关 的 系统 验证 机 制 。 

(2) 更 新 系统 安全 风险 和 威胁 评估 ,并 预测 系统 的 使 用 寿命 。 

(3) 完善 系统 的 运行 程序 和 生命 周期 安全 计划 。 
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(4) 对 与 本 阶段 有 关 的 安全 保障 机 构 进行 跟踪 和 参与 。 

(5) 准备 正式 或 非 正式 的 SVR 的 安全 风险 评估 。 

(6) 为 认证 和 认可 过 程 提 供 资料 。 

(7) 最 终 检 查 系 统 的 所 有 问题 。 

8. 配置 审计 阶段 

配置 审计 阶段 的 任务 是 从 系统 层面 进行 评审 ,确保 每 个 CI 都 进行 了 配置 审计 ,比较 建 
好 的 系统 和 前 面 各 阶段 的 记录 文件 ,文件 记录 了 系统 应 达到 的 指标 ,并 解决 发 现 的 大 的 问题 
或 偏差 。 另 外 ,配置 审计 阶段 还 要 证 实 系 统 所 有 安全 功能 的 实现 都 有 文档 记录 。 在 本 阶段 
结束 时 ,生成 一 份 物理 配置 审计 (Physical Configuration Audit,PCA) 报 告 。PCA 中 包括 所 
有 配置 审计 的 结果 和 解决 系统 出 现 问题 或 偏差 的 方法 ,并 通过 评审 。 

配置 审计 阶段 结束 时 ,为 每 个 相关 的 CI 建立 产品 基线 ,CI 可 以 是 系统 级 CI, 也 可 以 是 
作为 组 件 配置 的 最 低级 别 CI。 产 品 基线 通常 包括 产品 .过 程 和 材料 或 资料 的 规范 .工程 图 
纸 和 其 他 相关 数据 。 每 个 CI 的 产品 基线 包括 一 份 初步 认可 的 文件 ,也 可 能 包括 实际 的 设备 
和 软件 。 初 步 认可 的 文件 描述 了 CI 的 功能 性能、 物理 体系 结构 方面 的 要 求 ; 对 CI 作 接 收 
性 测试 时 物理 的 和 功能 的 需求 ; 部 署 ,支持 ,培训 和 拆除 CI 所 需 的 测试 。 

在 配置 审计 阶段 ,与 ISSE 有 关 的 活动 如 下 : 

(1) 根据 信息 系统 的 安全 需求 ,进一步 评估 相关 的 设计 资料 以 及 CI 产品 的 指标 。 

(2) 最 后 确认 系统 的 生产 部 署 计 划 能 满足 信息 系统 安全 需求 。 

(3) 最 终 确认 系统 运行 安全 规则 和 安全 支持 计划 。 

(4) 为 认证 和 认可 过 程 提供 资料 。 

以 上 ISSE 的 活动 的 目的 是 支持 系统 层面 的 物理 配置 审计 和 功能 配置 审计 (Functional 
Configuration Audit,FCA)。 系 统 层 面 的 PCA 和 FCA 是 为 了 评估 系统 层面 上 的 需求 ,这 
些 需 求 未 被 CI 层面 的 PCA 和 FCA 评估 过 。 在 配置 审计 完成 ,系统 开始 部 署 和 运行 时 ,一 
般 要 得 到 安全 认可 批准 。 

9. 运行 和 支持 阶段 

在 运行 和 支持 阶段 ,系统 开始 部 署 使 用 。 运 行 和 支持 阶段 要 持续 到 系统 拆除 为 止 。 从 
系统 发 挥 作用 到 最 终 拆除 ,ISSE 确保 系统 安全 得 到 维护 ,处 理 系统 在 现场 运行 时 的 安全 问 
题 ,采取 措施 使 系统 的 安全 水 平 在 系统 运行 期 间 不 会 下 降 。 

在 运行 和 支持 阶段 ,与 ISSE 有 关 的 活动 如 下 : 

(1) 监测 系统 物理 配置 和 功能 配置 是 否 影响 系统 的 安全 风险 。 

(2) 对 用 户 进行 安全 培训 ,并 对 安全 培训 进行 评估 。 

(3) 监测 安全 部 件 的 后 勤 支持 ,支持 与 安全 有 关 的 维护 培训 。 

(4) 监测 系统 的 安全 性 能 ,包括 事件 报告 。 

(5) 对 与 安全 有 关 的 部 件 的 拆除 处 理 进行 监测 。 

(6) 监测 与 安全 风险 有 关 的 因素 ,包括 新 发 现 的 对 系统 安全 的 攻击 、 系 统 受 到 威胁 的 变 
化 等 。 

(7) 评估 各 种 系统 改动 对 安全 造成 的 影响 。 

(8) 为 重新 进行 的 认证 和 认可 过 程 提供 资料 。 
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2.3 ISSE 过 程 


ISSE 是 系统 工程 的 子 部 分 , 它 贯 穿 于 系统 工程 的 全 过 程 , 旨 在 对 信息 进行 保护 。ISSE 
过 程 包括 探索 信息 保障 需求 .确定 信息 保障 系统 .设计 信息 保障 系统 、 实 现 信息 保障 系统 和 
评估 信息 保障 系统 。 


2.3.1 探索 信息 保障 需求 


“探索 信息 保障 需求 "是 ISSE 过 程 中 的 第 一 项 活动 。ISSE 首先 要 了 解 用 户 的 工作 需 
求 、 相 关 政策 .法律 法 规 ,标准 ,以 及 使 用 环境 中 受到 的 威胁 。 然 后 ISSE 确认 信息 系统 及 
其 用 户 、 用 户 的 行为 特点 、 用 户 在 信息 系统 生命 周期 各 阶段 的 角色 、 责 任 和 权力 以 及 用 户 
与 信息 系统 交互 作用 的 实质 等 。 信 息 保障 需求 不 能 对 系统 的 设计 和 实现 造成 过 度 的 
限制 。 

1. 所 需 完成 任务 的 信息 保障 需求 

ISSE 需要 考虑 系统 信息 可 能 从 多 方面 受到 的 影响 ,包括 人 的 因素 和 系统 的 因素 ,以 及 
可 能 造成 的 各 方面 的 损失 。 例 如 丧失 机 密 性 ,完整 性 可用性、 不 可 否认 性 ,或 者 它们 的 
组 合 。 

用 户 通常 很 清楚 他 们 所 需要 的 信息 有 什么 用 ,但 在 发 掘 信息 需要 何 种 保障 需求 以 及 信 
息 保 障 的 优先 级 时 遇 到 困难 。 为 了 探索 出 用 户 的 信息 保障 需求 ,需要 帮助 用 户 弄 清楚 什么 
信息 受到 了 何 种 破坏 后 会 对 总 体 任务 系统 造成 危害 。ISSE 需要 做 的 是 ， 

(1) 帮助 用 户 对 信息 处 理 过 程 建 模 。 

(2) 帮助 用 户 定义 对 信息 的 各 种 威胁 。 

(3) 帮助 用 户 确定 信息 保障 需求 的 保护 级 别 。 

(4) 设计 信息 保障 策略 。 

(5) 与 用 户 达成 一 致 ,获取 用 户 许可 。 

确定 用 户 需求 是 ISSE 实施 的 与 用 户 交互 的 活动 ,确保 任务 需求 中 包含 信息 保障 需求 。 
ISSE 在 设计 信息 保障 系统 时 需要 评估 信息 对 任务 的 重要 性 ,并 遵循 用 户 的 意见 。 这 一 阶段 
要 达到 的 目标 是 : 一 份 满足 用 户 在 成 本 .性 能 .时 间 等 各 方面 要 求 的 信息 系统 保障 框架 。 其 
中 至 少 包括 以 下 方面 : 

(1) 被 处 理 的 信息 的 类 型 是 什么 ? 

(2) 谁 有 权力 处 理 信 息 ? 

(3) 授权 用 户 如 何 处 理 以 及 使 用 何 种 工具 处 理 ? 

(4) 用 户 行为 是 否 需 要 监督 ? 

(5) 系统 中 是 否 有 不 可 否认 性 需求 ? 

在 这 个 阶段 ,ISSE 的 工作 需要 用 户 的 参与 ,否则 很 难 做 出 令 用 户 满意 的 决定 。 

2. 对 信息 系统 的 威胁 

ISSE 将 信息 威胁 作为 设置 保护 级 的 出 发 点 ,然后 定义 安全 服务 的 类 型 。 对 信息 系统 的 
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威胁 是 指 在 某 些 实体 进行 了 某 些 活动 后 ,引发 了 对 系统 造成 危害 结果 的 潜在 性 。ISSE 需要 
在 用 户 的 帮助 下 ,准确 、 详 尽 地 定义 出 在 系统 的 设计 、 生 产 , 使 用 、 维 护 以 及 废弃 的 过 程 中 可 
能 受到 的 威胁 。 

3. 考虑 信息 保障 策略 

对 信息 系统 而 言 ,在 制定 信息 保障 策略 时 ,除了 了 解 需求 和 威胁 ,还 要 考虑 现 有 的 信息 
保障 政策 ,法律 法 规 和 标准 。 信 息 保障 策略 主要 需要 定义 出 信息 保障 的 内 容 和 目标 、 信 
息 保 障 的 职责 落实 \ 信 息 保 障 的 方法 。 为 达成 上 述 目标 ,策略 制定 小 组 不 仅 需要 系统 工 
程 师 ISSE 工程 师 、 用 户 代 表 , 还 需要 信用 机 构 、 认 证 机 构 、 设 计 专 家 ,其 至 是 政府 机 构 的 
参与 。 

信息 保障 策略 必须 由 高 层 管理 机 构 批 准 并 颁布 , 它 是 分 层 的 。 一 旦 制定 后 ,高 层 的 策略 
一 般 是 不 会 改变 的 ,而 下 层 的 局 部 策略 是 可 以 根据 具体 情况 而 定 的 。 在 策略 的 执行 过 程 中 ， 
应 使 每 个 参与 者 都 能 够 理解 策略 。 如 果 策 略 在 某 些 地 方 不 能 得 到 执行 , 则 需要 让 其 他 参与 
者 知道 。 还 需要 有 一 个 能 够 确保 实施 策略 的 流程 ,并 让 参与 者 认识 到 违反 该 策略 将 会 出 现 
的 后 果 。 


2.3.2 确定 信息 保障 需求 


在 确定 信息 保障 系统 的 过 程 中 ,用 户 对 信息 保障 的 需求 和 信息 系统 环境 将 被 细 化 为 对 
象 .需求 和 功能 。 这 一 过 程 将 确定 信息 系统 将 要 做 什么 如何 去 执 行 其 功能 以 及 信息 保障 系 
统 的 内 部 和 外 部 接口 。 

1. 信息 保障 对 象 

信息 保障 的 对 象 与 通常 的 系统 对 象 具 有 相同 的 特性 ,例如 对 于 信息 保障 需求 的 确定 性 、 
可 度量 性 .可 验证 性 .可 追踪 性 等 。 每 个 对 象 的 基本 原理 都 要 说 明 下 列 性 质 : 

(1) 支持 信息 系统 中 的 任务 对 象 。 

(2) 驱动 与 任务 相关 的 威胁 。 

(3) 存在 的 意义 。 

(4) 支持 对 象 的 信息 保障 策略 。 

2. 系统 内 部 关联 和 环境 

系统 内 部 关联 和 环境 是 指 系统 与 外 界 交互 的 功能 和 接口 ,包括 物理 上 的 和 逻辑 上 的 。 
任务 对 象 、 信 息 的 特性 、 信 息 处 理 、 威 胁 、 信 息 保 障 策略 等 因素 都 极 大 地 影响 着 系统 环境 。 系 
统 内 部 关联 和 环境 对 于 确定 系统 边界 并 实施 保护 是 很 重要 的 。 

3. 信息 保障 的 需求 

ISSE 需求 分 析 的 任务 是 评审 和 更 新 此 前 工程 过 程 中 的 分 析 , 包 括 任务 威胁、 对 象 、 系 
统 内 部 关联 和 环境 。 系 统 需求 中 应 规定 出 系统 必须 完成 的 事情 ,而 不 是 去 设计 和 实现 系统 。 
系统 需求 的 分 析 中 必须 定义 系统 的 功能 要 求 和 设计 约束 。ISSE 和 其 他 信息 保障 系统 的 所 
有 者 主要 检查 正确 性 ,完整 性 一致 性 、 依 赖 性 、 冲 突 和 可 测试 性 。 


2.3.3 设计 信息 保障 系统 
目标 系统 已 经 明确 后 ,就 可 以 进入 信息 系统 的 设计 阶段 ,ISSE 将 构造 系统 的 体系 结构 。 
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ISSE 工程 师 将 继续 进行 下 述 工作 : 

(1) 对 安全 需求 和 威胁 评估 进行 细 化 和 检查 。 

(2) 确认 底层 的 需求 能 够 满足 系统 级 的 需求 。 

(3) 支持 系统 级 架构 配置 项 和 接口 定义 。 

(4) 继续 跟踪 、 细 化 信息 保障 需求 。 

(5) 确定 信息 保护 完整 性 的 验证 策略 和 步骤 。 

(6) 考虑 信息 保护 操作 。 

(7) 继续 进行 信息 保障 系统 风险 检查 与 评估 。 

1. 功能 分 析 

功能 分 析 要 将 此 前 的 要 求 分 析 阶 段 所 确定 的 高 层 功 能 分 解 至 低层 功能 ,与 高 层 功能 相 
关 的 性 能 要 求 也 要 分 解 至 低层 。 功 能 分 析 的 结果 是 描述 每 个 产品 或 项 目的 逻辑 功能 或 性 
能 。 当 某 种 系统 功能 被 定位 到 某 个 系统 部 件 或 人 身上 后 ,信息 保障 功能 也 就 附 上 了 系统 元 
素 。 此 描述 通常 称 为 信息 保障 系统 构架 。 

2. 信息 保障 预 设计 

在 需求 和 构架 已 经 确定 后 ,ISSE 进入 了 信息 保障 的 预 设计 阶段 。 实 施 信 息 保障 预 设计 
的 最 小 条 件 是 具有 在 配置 管理 下 的 稳定 的 信息 保障 体系 结构 。ISSE 工程 师 将 制定 出 系统 
建造 的 规范 ,ISSE 在 这 一 阶段 的 行为 至 少 包括 : 

(1) 检查 . 细 化 需求 和 预期 成 果 , 尤 其 是 系统 配置 项 和 接口 规范 的 定义 。 

(2) 调查 已 有 解决 方案 ,使 之 与 配置 项 要 求 相 匹配 。 

(3) 验证 配置 项 层 的 方案 与 上 层 方 案 相 一 致 。 

3. 信息 保障 详细 设计 

详细 设计 将 进一步 完善 配置 项 层 方案 , 细 化 底层 产品 规范 ,检查 每 个 细节 规范 的 完整 
性 .兼容 性 .可 验证 性 、 安 全 风险 .可 追踪 性 等 。 要 做 出 合理 的 设计 决策 ,需要 ISSE 不 断 地 
实施 评估 ,以 比较 系统 安全 需求 中 的 预期 风险 。 信 息 保障 详细 设计 包括 以 下 内 容 : 

(1) 检查 、 细 化 配置 项 层 方案 。 

(2) 提供 具体 的 设计 资料 以 支持 配置 项 层 和 系统 级 的 设计 。 

(3) 检查 关键 设计 的 合理 性 。 

(4) 设计 信息 保障 测试 和 评估 程序 。 

(5) 实施 信息 保护 保障 机 制 。 

(6) 验证 配置 项 层 的 方案 与 上 层 方 案 相 一 致 。 

(7) 提供 各 种 测试 数据 。 

(8) 检查 、 更 新 信息 保障 的 风险 和 威胁 。 


2.3.4 实现 信息 保障 系统 


这 一 阶段 的 目标 是 通过 采购 .配置 .测试 .记录 和 培训 ,使 系统 从 设计 转 为 运行 。 除 此 以 
外 ,在 这 一 阶段 ,ISSE 所 执行 的 其 他 用 于 实现 和 测试 信息 保障 系统 的 功能 还 包括 

(1) 验证 系统 能 够 防御 威胁 评估 中 确定 的 威胁 。 

(2) 验证 信息 保障 方案 ,实施 系统 验证 ,确定 是 否 与 需求 和 环境 相符 。 
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(3) 跟踪 信息 保护 保障 机 制 在 系统 实现 和 测试 活动 中 的 运用 情况 。 

(4) 审查 系统 的 生命 周期 计划 .运行 流程 以 及 培训 材料 ,并 向 这 些 文档 提供 数据 。 

(5) 实施 正式 的 信息 保障 评估 ,为 最 终 的 系统 有 效 性 评估 做 准备 。 

上 述 这 些 信息 将 为 后 来 的 安全 验证 提供 帮助 ,安全 验证 之 后 一 般 还 会 有 安全 信任 
审核 。 

1. 采购 部 件 

通常 ,决定 组 件 是 自行 生产 还 是 采取 购买 的 方式 ,可 根据 偏好 进行 选择 。 影 响 决定 的 因 
素 包括 可 操作 性 ,性 能 ,成 本 、 时 间 进度 ,风险 等 。 其 他 因素 包括 系统 组 件 的 依赖 性 效果 ,组 
件 的 最 低 性 能 对 系统 性 能 的 影响 以 及 组 件 在 将 来 的 可 用 性 。ISSE 判断 已 有 的 产品 是 否 能 
满足 系统 部 件 的 需求 ,最 好 能 有 多 种 产品 可 供 选 择 。 另 外 ,为 确保 系统 实现 之 后 仍 具有 较 强 
的 生命 力 ,ISSE 还 应 考虑 将 新 技术 运用 到 系统 之 中 。 

2. 建造 系统 

信息 保障 系统 同 许多 系统 一 样 ,必要 的 保护 机 制 是 否 在 系统 中 实现 ,会 直接 影响 系统 的 
最 终 效果 。 作 为 信息 保护 系统 ,还 需要 格外 注意 : 

1) 物理 完整 性 

对 设备 ,组 件 是 否 有 物理 安全 保护 措施 。 

2) 人 员 完 整 性 

组 装 .建造 系统 的 人 员 对 工作 流程 是 否 具有 足够 的 知识 和 适当 的 涉 密 许可 级 别 , 以 保证 
系统 的 正确 性 和 可 信 性 。 

这 些 是 容易 被 忽略 而 又 非常 重要 的 并 且 会 影响 系统 安全 性 的 因素 。 在 构建 系统 时 应 当 
给 予 足够 的 重视 。 

3. 测试 

ISSE 要 给 出 与 信息 保障 相关 的 测试 计划 和 工作 流程 ,还 要 给 出 测试 实例 、 工 具 、 软 硬 
件 等 。 测 试 将 验证 子 系统 或 系统 的 性 能 。 测 试 计 划 应 考虑 单个 组 件 和 整个 系统 测试 所 需 的 
人 员 工具、 设施、 成 本 及 进度 等 问题 。 此 阶段 的 工作 包括 ， 

(1) 检查 信息 保障 系统 的 设计 结果 并 改进 。 

(2) 验证 系统 层 和 配置 项 层 的 信息 保障 需求 和 环境 限制 ,以 及 实施 方案 和 相关 的 系统 
验证 和 确认 机 制 和 决策 。 

(3) 在 系统 实现 和 测试 过 程 中 跟踪 并 应 用 系统 保护 保障 机 制 。 

(4) 审查 系统 生命 周期 安全 计划 ,包括 后 勤 、 维 护 和 培训 计划 。 

(5) 持续 实施 风险 管理 工作 。 


2.3.5 评估 信息 保障 系统 


ISSE 也 强调 信息 保障 系统 的 有 效 性 。 有 效 性 评估 着 重 针对 系统 在 机 密 性 、 完 整 性 、 可 
用 性 和 不 可 和 否认 性 等 安全 特性 方面 。 如 果 系 统 在 这 些 方面 达 不 到 设计 要 求 ,就 很 难 满足 用 
户 的 需求 。 其 中 的 重点 包括 : 互 操作 性 、 可 用 性 、 培 训 、 人 机 接口 和 成 本 。 

互 操作 性 是 指 系统 是 否 通过 外 界 接口 正确 地 对 信息 进行 了 保护 ; 可 用 性 是 指 系统 是 否 
能 给 用 户 提供 信息 和 信息 保护 ; 培训 是 指 用 户 需要 何 种 程度 的 培训 才能 正确 地 操作 和 维护 
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信息 保障 系统 ; 人 机 接口 是 指 用 户 错 误 操作 或 削弱 保护 机 制 ; 成 本 是 指 构造 和 维护 系统 的 
资金 是 否 可 承受 。 


2.4 ISSE 的 基本 功能 


本 节 主 要 介绍 与 ISSE 工作 相关 的 各 种 典型 活动 以 及 ISSE 的 基本 功能 。ISSE 活动 一 
般 是 系统 工程 中 的 子 过 程 。ISSE 的 每 项 基本 功能 都 包含 了 许多 高 技术 的 特殊 活动 。ISSE 
小 组 参与 的 主要 活动 包括 : 系统 总 体 控制 .分 析 和 规划 ,需求 分 析 , 系 统 设 计 , 系 统 开发 集 
成 ,验证 ,运行 ,为 有 安全 需求 的 系统 提供 生命 周期 安全 计划 。 这 些 活动 必须 由 拥有 足够 经 
验 和 专门 技能 的 系统 工程 师 和 安全 专业 人 员 来 进行 指导 和 完成 。 

在 整个 系统 生命 周期 的 每 个 阶段 ,信息 系统 安全 工程 小 组 参与 的 活动 并 行 地 、 反 复 地 执 
行 。 各 活动 之 间 是 相互 协调 的 。 在 每 一 阶段 ,每 项 活动 需要 的 技术 项 目 等 级 也 不 同 。 当 活 
动 涉及 到 证 明 活动 成 果 的 概念 和 信息 时 ,除了 生命 周期 运行 和 支持 活动 外 ,在 这 个 阶段 的 开 
始 , 多 数 活动 就 要 求 付 出 极 大 的 努力 ,同时 也 需要 巨大 的 资源 开销 。 在 过 程 中 期 阶段 ,提炼 
和 更 新 信息 ,并 把 信息 变换 为 可 实现 的 系统 方案 ; 在 过 程 中 期 阶段 前 期 ,实现 概念 或 信息 并 
进行 验证 ,证 实 有 效 后 即 可 投入 到 长 久 的 运行 使 用 中 ; 在 过 程 中 期 阶段 后 期 ,使 用 和 支持 概 
念 或 信息 ,并 在 必要 时 对 它们 进行 修改 ,最 后 进行 部 署 。 在 过 程 早 期 和 中 期 阶段 的 预期 过 程 
和 获取 程序 本 身 安 全 需求 的 过 程 中 ,安全 运行 分 析 和 生命 周期 活动 就 已 经 开始 了 ,但 是 关于 
运行 和 生命 周期 安全 功能 的 大 量 工作 主要 在 后 期 阶段 完成 。 该 阶段 需要 进行 部 署 使 用 、 监 
控 \、 支 持 ,并 根据 系统 的 安全 特性 而 进行 有 效 修改 。ISSE 基本 功能 ,生命 周期 各 阶段 和 系统 
事件 如 图 2.2 所 示 。 

ISSE 过 程 包括 一 系列 安全 工程 功能 ,这 些 功 能 与 系统 工程 各 阶段 或 事件 相对 应 。 通 过 
反复 运用 图 2.2 的 基本 过 程 ,实现 了 各 工程 间 的 相互 协调 。 在 图 2.2 中 ,每 一 横 格 代表 了 一 
个 基本 的 ISSE 功能 ,每 一 纵 格 代 表 系 统 生命 周期 的 一 个 阶段 。 在 每 一 阶段 结束 后 ,生成 相 
关 的 系统 事件 ,如 MNS、ASR 等 。 图 2. 2 中 横 格 和 纵 格 的 交叉 说 明了 在 系统 的 任 一 阶段 ， 
ISSE 的 每 一 基本 功能 都 要 考虑 到 。 

在 系统 开发 的 不 同 阶段 涉及 ISSE 各 功能 的 程度 也 不 一 样 。 每 个 ISSE 功能 至 少 有 3 
种 模式 : 为 实现 功能 作 准 备 ; 实现 功能 ; 当 系 统 发 生变 动 或 有 新 情况 出 现时 要 做 出 相应 
改变 。 

项 目 不 同 ,对 应 的 每 一 阶段 所 花费 的 时 间 和 精力 也 不 同 。 但 在 一 般 统计 情况 下 ,在 系统 
开发 的 前 5% 的 时 间 内 ,系统 生命 周期 中 85% 的 时 间 和 精力 开销 就 已 经 确定 ,这 就 说 明了 大 
量 的 时 间 和 精力 消耗 在 生命 周期 开发 之 后 .消耗 在 系统 运行 和 支持 阶段 和 对 系统 的 修改 中 。 
因此 ,系统 的 所 有 相关 人 员 应 尽早 讨论 和 分 析 贯 穿 系 统 生命 周期 的 有 关 问 题 。ISSE 过 程 的 
目的 是 找到 解决 问题 的 工程 方法 。 

从 图 2.2 中 可 以 看 出 ,ISSE 的 基本 功能 包括 安全 规划 、 控 制 和 ISSE 小 组 形成 ,安全 需 
求 ,安全 设计 ,安全 运行 ,生命 周期 安全 和 安全 风险 管理 。 
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系统 事件 
任务 需 可 选 系 系统 需 系统 功 初步 设 关键 设 系统 验 物理 配 
求 说 明 统 评审 求 评 审 能 评审 计 评审 计 评审 证 评审 置 审计 
(MNS) (ASR) (SRR) (SFR) (PDR) (CDR) (SVR) (PCA) 


安全 风 | sd ss 
险 管理 
人 期 > SE 下 
安全 
静 运行 分 析 


安全 设计 
安全 需求 
安全 规划 
~ 和 控制 

先 概 要 系 初 详 实 配 运 

期 念 求 统 步 细 现 置 行 

概 设 设 和 审 和 

念 计 计 计 测 计 支 

试 持 


生命 周期 各 个 阶段 
2.2 IISSE 基本 功能 .生命 周期 各 阶段 及 系统 事件 


2.4.1 安全 规划 、 控 制 和 JSSE 小 组 形成 


系统 和 安全 工程 管理 以 及 规划 活动 应 该 在 工程 开始 时 就 启动 了 。 它 们 是 ISSE 功能 的 
基本 部 分 。 为 了 系统 地 把 安全 需求 戏 和 人 到 有 效 的 设计 中 ,应 尽早 开始 规划 活动 并 很 好 地 提 
供 强 有 力 的 资金 支持 。 

一 项 重要 的 活动 就 是 要 成 立 由 系统 安全 工程 师 领 导 的 小 组 ,以 便 综合 和 协调 安全 规划 。 
在 系统 工程 小 组 内 确定 ISSE 的 需求 ,针对 这 些 需求 成 立 ISSE 小 组 ,并 提供 必要 的 工具 和 
资料 。 相 关 的 安全 规划 活动 还 包括 组 合 参与 协作 工程 过 程 的 客户 和 ISSE 执行 人 员 , 达 到 
系统 的 安全 目标 及 成 本 、 进 度 和 操作 运行 的 目标 。 有 效 准 备 和 规划 能 保证 恰当 的 信息 系统 
安全 工程 输入 会 在 系统 工程 过 程 的 最 佳 点 被 接收 ,并 且 提 供给 适合 的 小 组 成 员 。ISSE 小 组 
在 未 来 需要 提供 适当 的 计划 来 适应 扩展 的 或 新 的 用 户 业 务 需求 .系统 发 展 需要 和 技术 。 

成 立 ISSE 小 组 的 目的 是 协调 信息 系统 安全 工程 ,使 其 满足 可 操作 性 、 低 成 本 和 符合 进 
度 安排 目标 。 在 制定 总 体系 统 工程 管理 计划 (System Engineering Management Plan， 
SEMP) 时 , ISSE 小 组 同系 统 项 目 办 事 机 构 (SPO) 一 起 工作 。SEMP 是 一 份 综 合 性 文件 , 文 
件 描述 如 何 管 理 和 实施 全 面 的 综合 性 工程 工作 。 与 ISSE 小 组 相关 的 主要 功能 角色 及 其 关 
系 如 图 2.3 所 示 。 

在 图 2.3 中 ,关键 管理 专家 包括 INFOSEC 技术 工程 师 ,INFOSEC 威胁 分 析 员 ,INFOSEC 
客户 服务 代表 ,理论 ,政策 和 发 布 专家 ,系统 安全 剖析 工程 师 及 安全 评估 员 。 其 中 安全 评估 
员 可 以 包括 系统 分 析 员 、 软 件 分 析 员 技术 安全 分 析 员 、 密 码 分 析 员 、 信 号 分 析 员 安全 故障 
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2.3 信息 系统 安全 工程 小 组 的 功能 角色 及 其 关系 


分 析 员 及 密码 验证 分 析 员 等 。 

ISSE 小 组 首先 要 与 客户 建立 良好 的 关系 和 沟通 手段 ,目的 是 理解 工程 的 目标 、 成 本 和 
进度 ,项 目的 过 程 方法 以 及 系统 工程 结构 。 当 不 能 实现 使 用 物理 方法 进行 沟通 的 时 候 , 可 以 
通过 自动 化 和 电信 业务 的 虚拟 方法 进行 联络 ,也 可 以 通过 站 点 访问 。 对 于 ISSE 小 组 在 系 
统 工程 的 作用 以 及 如 何 与 系统 用 户 、 系 统 开发 小 组 和 C&A 小 组 进行 协作 ,ISSE 小 组 要 和 
客户 达成 共识 。 当 客户 尚未 配备 安全 专员 与 ISSE 小 组 进行 相同 级 别 问题 的 讨论 时 ,双方 
应 共同 商定 以 何 种 方式 克服 沟通 障碍 。 选 择 方 案 如 下 : 

(1) 使 用 批准 的 联络 站 作为 中 介 。 

(2) 提升 客户 的 许可 级 别 。 

(3) 使 用 在 技术 层面 上 的 方式 向 客户 提供 信息 ,但 是 不 包括 尚未 得 到 授权 的 信息 。 

ISSE 小 组 也 要 与 物理 的 ,管理 的 .人 事 的 ,运行 安全 的 负责 人 和 组 织 建 立 良好 的 工作 

从 完成 开发 直到 系统 具备 完备 的 运行 能 力 为 止 ,信息 系统 安全 工程 小 组 都 要 参与 。 在 
初始 开发 周期 即将 结束 时 ,需要 指定 生命 周期 信息 系统 安全 工程 师 (Life-Cycle INFOSEC 
Engineer,LCIE)。LCIE 可 以 是 来 自信 息 系 统 安全 工程 小 组 派出 机 构 的 人 员 , 可 以 是 其 他 
安全 人 员 , 也 可 以 是 来 自 客户 或 最 终 用 户 机 构 的 人 员 。 当 系统 进入 运行 和 支持 阶段 时 ， 
LCIE 接管 信息 系统 安全 工程 小 组 的 领导 权 。 在 需要 时 ,LCIE 可 以 得 到 其 他 技术 专家 的 协 
助 。 从 系统 投入 现场 运行 到 系统 废弃 阶段 ,LCIE 都 可 以 向 用 户 提供 支持 。 当 系统 被 报废 
后 ,支持 就 结束 了 。 

下 面 介 绍 本 阶段 的 主要 工作 。 

1， 商业 决策 和 工程 规划 

商业 决策 的 一 个 结果 是 指定 信息 系统 安全 工程 小 组 成 员 和 首席 信息 系统 安全 工程 师 。 
在 做 出 正式 的 商业 决策 之 前 ,可 由 信息 系统 安全 客户 代表 履行 信息 系统 安全 工程 师 的 职责 。 

首席 信息 系统 安全 工程 师 在 商业 规划 过 程 中 ,阅读 已 有 的 文件 ,并 与 客户 就 小 组 安排 和 
支持 需求 进行 讨论 ,然后 准备 一 份 小 组 成 员 配 备 预案 。 商 业 决 策应 作出 与 支持 ISSE 相关 
的 支出 的 预算 。 支 出 可 能 包括 以 下 几 项 : 设备 支出 、 差 旅 支出 、 工 程 工具 支出 和 相关 支持 服 
务 支出 。 
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其 他 工程 策略 活动 还 包括 确定 进度 、 合 同文 件 和 工程 文档 策略 的 规划 以 及 相关 的 安全 
验证 和 确认 活动 。 若 某 些 因素 发 生 重大 变化 , 则 ISSE 小 组 需要 报告 给 决策 者 ,以 便 确 定 对 
工程 协议 进行 修订 。 

ISSE 小 组 还 应 考虑 与 安全 C&A 小 组 的 关系 。 

对 于 急需 的 或 非常 大 的 项 目 , 可 能 需要 多 人 来 充当 ISSE 小 组 成 员 的 角色 。 如 果 项 目 
较 小 ,可 能 要 求 首席 信息 系统 安全 工程 师 充 当 ISSE 小 组 的 多 个 甚至 是 全 部 的 功能 角色 。 
ISSE 小 组 成 员 的 实际 数量 ,基本 的 信息 系统 安全 人 员 , 以 及 他 们 各 自 的 工作 水 平 根据 工程 
的 规模 、 敏 感性 和 可 用 资源 的 相对 优先 级 的 不 同 而 不 同 。 

2. 规划 ISSE 对 认证 和 认可 的 支持 内 容 

ISSE 小 组 同 客 户 一 起 工作 ,以 便 尽 早 确认 系统 的 指定 批准 机 构 (Designated Approving 
Authority,DAA) 和 其 他 安全 C&A 小 组 参与 者 ,然后 再 与 管理 机 构 、 测 评 认证 机 构 沟 通 , 规 
划 ISSE 对 C&A 的 支持 内 容 。 

认证 和 认可 是 针对 信息 系统 和 其 他 保护 措施 的 技术 性 或 非 技术 性 安全 特征 而 进行 的 一 
种 综合 评估 ,目的 是 确定 某 一 特定 设计 和 实施 能 够 满足 已 指定 的 安全 需求 的 程度 ,并 由 
DAA 正式 声明 某 信 息 系统 被 批准 可 在 某 一 可 接受 的 风险 水 平 上 运行 。 

理想 情况 下 ,安全 认证 活动 应 在 系统 生命 周期 各 阶段 完成 。 测 评 认 证 要 与 风险 评估 相 
关联 ,在 系统 生命 周期 内 由 C&A 测评 人 员 不 断 地 评审 和 修正 ,并 确定 剩余 风险 。 安 全 认可 
(Security Accreditation) 的 规划 应 在 系统 生命 周期 开始 阶段 完成 。 如 果 C&A 小 组 无 特别 
要 求 , ISSE 小 组 应 为 C&A 提供 必需 的 全 部 信息 系统 安全 信息 和 产品 ,以 完成 安全 认证 工 
作 , 并 取得 安全 认可 决策 。ISSE 小 组 应 同 C&A 小 组 一 起 工作 ,以 最 大 限度 地 减少 在 认证 
分 析 和 相关 证 据 搜集 方面 的 重复 工作 。 

初始 的 认证 任务 包括 系统 构架 分 析 软件 设计 分 析 、 网 络 连 接 是 否 符合 规划 分 析 、 集 成 
产品 的 完整 性 分 析 、 生 命 周 期 管理 分 析 和 漏洞 评估 。 

进行 认证 和 认可 的 系统 要 有 支持 每 个 任务 的 正式 文档 、 安 全 规范 .测试 和 评估 综合 计划 
(Test and Evaluation Master Plan,TEMP) 以 及 确保 所 有 网 络 与 其 他 互 连 要 求 均 被 实现 的 
书面 说 明 。 可 以 定制 针对 系统 的 认证 任务 ,以 适合 系统 的 项 目 战略 和 生命 周期 管理 过 程 。 

最 终 的 认证 任务 包括 安全 测试 和 评估 ,渗透 测试 ,TEMPEST 和 RED-BLACK 核实 , 确 
定 是 否 符 合 通信 安全 标准 ,系统 管理 分 析 ,站 点 认可 调查 ,意外 事件 应 急 计划 评估 和 基于 风 
伶 的 管理 评估 。 

ISSE 小 组 为 C&A 提供 的 内 容 包 括 : 

(1) 安全 目标 和 安全 需求 的 描述 。 

(2) 安全 保障 计划 。 

(3) 与 安全 相关 的 信息 ,包括 接口 规范 。 

(4) 与 外 部 系统 接口 作用 的 信息 。 

(5) 安全 威胁 分 析 报 告 。 

(6) 安全 需求 验证 的 可 跟踪 矩阵 (Requirement Verification Traceability Matrix, RVTM) 
或 相关 决策 数据 库 信 息 。 

(7) 系统 安全 运行 计划 .方案 和 其 他 分 析 。 

(8) 生命 周期 安全 计划 。 
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(9) 安全 测试 或 其 他 验证 计划 和 数据 。 

(10) 安全 风险 评估 或 风险 评审 报告 。 

(11) 实用 产品 安全 特性 文件 和 产品 安全 评价 报告 。 

(12) 测评 认证 机 构 人 员 的 介入 。 

(13) 系统 安全 评估 和 特征 数据 。 

信息 系统 安全 工程 也 应 了 解 其 他 形式 的 系统 验收 决策 ,并 提供 数据 资料 。 例 如 ,如 果 用 
户 拥有 系统 过 渡 或 验收 计划 ,而 计划 中 的 过 渡 时 期 的 决策 者 不 是 C&A 安全 测评 机 构 的 人 
员 , 系 统 总 体验 收 机 构 会 充当 安全 认可 者 的 角色 ,安全 认证 活动 由 ISSE 小 组 来 完成 。 

3. ISSE 报告 

1) 用 户 或 同 级 小 组 报告 

ISSE 小 组 应 随时 向 客户 通报 所 承担 的 工作 和 进展 情况 ,并 传达 需要 提醒 客户 注意 或 进 
行 讨论 的 问题 。 在 有 可 能 的 情况 下 为 客户 进行 适当 的 演示 ,作为 定期 现场 访问 或 是 工程 技 
术 评 审 。 这 将 有 助 于 修正 在 项 目 实施 中 发 现 的 问题 。 

2) 机 构 的 管理 报告 

在 每 一 个 重要 项 目 里 程 碑 评审 之 前 ,ISSE 小 组 为 机 构 管 理 人 员 提 供 简报 ,给 出 有 关 技 
术 和 状态 的 信息 ,保证 管理 部 门 拥 有 管理 和 支持 ISSE 过 程 必需 的 信息 。 工 程 初期 简报 讨 
论 如 何 裁剪 ISSE 过 程 来 适应 客户 的 需要 和 安全 能 力 需求 ,以 及 小 组 完成 了 什么 活动 。 

在 没有 异常 安全 风险 或 实施 小 工程 项 目 时 , ISSE 小 组 在 重要 项 目 技术 评审 之 前 非 正 
式 地 发 出 近期 管理 简报 ,或 者 使 用 电子 邮件 每 周 或 每 两 周 发 送 简明 的 书面 报告 ,也 或 者 每 周 
或 每 两 周 同 监督 人 员 一 起 讨论 进展 情况 。 然 而 在 实施 具有 较 高 风险 的 项 目 时 ,ISSE 会 比较 
深入 ,频繁 地 向 上 级 管理 部 门 汇报 情况 ,但 每 季度 或 每 半年 才 提交 正式 的 小 组 报告 。 

简报 大 致 包括 的 内 容 有 : 

(1) 证 明 ISSE 小 组 遵循 了 原 定 的 ISSE 过 程 ,向 管理 部 门 提供 工作 质量 和 成 果 方 面 的 
建议 。 

(2) 评审 用 户 的 运行 以 及 安全 能 力 需求 等 方面 的 工作 。 

(3) 确定 ISSE 小 组 已 经 完成 了 的 活动 ,并 与 先前 简报 中 的 工作 计划 比较 。 

(4) 有 关 信 息 系统 安全 支持 和 成 果 的 反馈 。 

(5) 系统 描述 。 

(6) 建议 的 安全 方案 。 

(7) 安全 风险 评估 结果 。 

(8) 进度 情况 。 

(9) ISSE 人 员 配 置 和 其 他 资源 问题 。 

(10) 技术 策略 变化 或 早期 简报 得 出 的 风险 数据 。 

根据 简报 ,管理 部 门 能 够 判断 经 过 裁剪 的 过 程 是 否 适用 ,用 户 是 否 满意 ISSE 小 组 的 
工作 。 

4. 技术 数据 库 和 工具 

1) 决策 数据 库 

系统 工程 确定 一 种 使 用 和 维护 技术 数据 库 的 方法 ,可 以 是 一 种 记录 或 是 在 线 工程 数 
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据 库 。 决 策 数据 库 是 系统 工程 数据 的 集合 。 决 策 数据 库 在 系统 需求 和 方案 改进 时 维持 
它们 当前 状态 的 快速 记录 和 历史 记录 。ISSE 小 组 按 要 求 向 系统 决策 数据 库 提供 信息 并 
从 系统 决策 数据 库 获 取信 息 ,包括 直接 访问 系统 数据 库 或 采用 硬 拷贝 或 电子 方式 交换 
信息 。 

一 般 情况 下 ,决策 数据 库 包 括 以 下 内 容 : 

(1) 综合 的 系统 需求 和 对 配置 项 的 下 行 配置 。 

(2) 接口 限制 和 要 求 。 

(3) 系统 概念 .初步 设计 和 详细 设计 选择 方案 。 

(4) 选 定 设计 的 全 部 文档 。 

(5) 验证 。 

(6) 决策 准则 。 

(7) 商业 研究 评估 。 

(8) 原理 图 集 。 

(9) 模型 和 仿真 。 

(10) 设计 图 和 详 图 。 

(11) 配置 文档 和 变化 控制 手段 。 

(12) 可 跟踪 性 审计 追踪 。 

2) 知识 库 的 开发 和 重用 

ISSE 小 组 利用 和 充实 信息 系统 安全 知识 库 , 使 ISSE 过 程 更 有 效 、 更 正规 。ISSE 专业 
人 员 可 通过 以 下 渠道 对 知识 库 进行 开发 和 重用 : 

(1) 与 同 级 工作 人 员 ,高 级 技术 领导 和 管理 人 员 非 正式 地 分 享 ISSE 思想 .经 验 和 输出 。 

(2) 传播 经 过 质量 检查 的 运用 示例 。 

(3) 为 在 线 或 联机 资料 库 进 行 数据 库 输入 。 

(4) 经 验 报告 。 

(5) 张贴 在 电子 公告 牌 上 的 非 正 式 评 注 。 

(6) 列 出 参考 资源 的 工作 帮助 信息 。 

(7) 丰富 ISSE 培训 课程 的 信息 。 

(8) 专业 技术 和 工具 。 

(9) 正式 发 行 指南 和 技术 论文 。 

通过 上 述 渠道 可 以 达到 知识 共享 。 

3) 工具 的 选择 和 使 用 

自动 化 工程 工具 的 选择 和 使 用 非常 重要 ,可 能 影响 到 ISSE 功能 的 技术 规划 。 很 多 的 
工具 可 以 用 于 需求 定义 设计、 软件 和 硬件 实现 测试 和 分 析 ,运行 方案 建 模 、 技 术 文档 发 布 
和 工程 管理 等 。ISSE 小 组 可 以 使 用 与 系统 开发 小 组 直接 兼容 的 技术 工具 实现 信息 共享 。 

5. 与 采购 和 签约 有 关 的 规则 

1) 采购 策略 

采购 策略 是 指 选择 最 适合 该 工程 和 工程 环境 的 系统 的 获取 策略 。 采 购 策略 规划 了 
ISSE 小 组 同系 统 项 目 办 公 室 (SPO) 的 关系 ,以 及 需要 承包 商 支持 的 程度 。 采 购 策略 需要 考 
虑 的 问题 包括 : 


第 2 章 信息 系统 安全 工程 ISSE 及 周期 模型 31 


(1) 最 适合 的 承包 合同 。 

(2) ISSE 小 组 参与 承包 合同 的 监控 的 时 间 。 

(3) ISSE 为 支持 承包 合同 所 需要 的 费用 。 

(4) 把 信息 系统 安全 有 关 材 料 精 练 为 系统 技术 标准 或 工作 说 明 (Statement of Work， 
SOW) 所 包含 的 参考 资料 ,如 指南 、 标 准 、 准 则 ,保证 等 。 

(5) 每 个 相关 合同 或 任务 订单 的 合同 数据 要 求 的 原始 材料 。 

(6) 合同 修改 和 工程 变动 对 ISSE 的 影响 。 

(7) 为 技术 性 能 提供 的 信息 系统 安全 的 素材 。 

(8) 将 信息 系统 安全 需求 输入 到 技术 性 能 的 度量 集合 中 。 

(9) 合同 的 安全 技术 规格 要 求 一 一 承包 商 使 用 的 安全 登记 指南 ; 承包 商 个 人 许可 
证 等 。 

2) 预先 规划 的 产品 改进 策略 

预先 规划 的 产品 改进 策略 (Pre-planned Product Improvement Strategy,P?IT) 是 对 已 获 
取 系统 所 做 的 计划 的 未 来 改进 。 该 策略 把 重大 风险 推迟 以 便 在 以 后 的 工作 中 开发 ,其 原因 
可 能 是 无 法 负担 的 费用 或 者 技术 原因 。 

3) 工程 文档 编制 规划 

编制 的 文档 涉及 几乎 所 有 的 安全 问题 ,如 系统 级 和 产品 级 技术 规范 、 系 统 测试 计划 、 获 
取 和 后 勤 支持 计划 。 

6. 信息 系统 安全 保证 计划 

信息 系统 安全 保证 计划 是 用 与 信息 系统 安全 相关 的 保证 技术 把 安全 功能 需求 同 相 关 的 
可 测度 的 强度 级 别 或 依赖 级 别 结 合 到 一 起 。 实 现 安全 保证 的 技术 包括 测试 ,分析 、 过 程控 
制 . 评 审 和 其 他 开发 。 安 全 保证 计划 是 一 种 方法 , 它 用 来 确定 用 户 保护 什么 ,如 何 将 它 划 分 
等 级 ,然后 如 何 保证 给 予 它 同等 级 的 安全 保护 。ISSE 小 组 协助 制定 信息 系统 安全 保证 计 
划 。 安 全 保证 计划 包含 一 张 在 系统 生命 周期 应 用 的 安全 保证 技术 清单 里 ,每 项 安全 保证 技 
术 的 时 间 和 范围 都 包含 在 这 个 计划 内 。 安 全 保证 计划 信息 应 包含 在 系统 文档 中 。 

由 于 并 非 构 成 系统 的 所 有 功能 都 要 求 相 同 的 强度 和 可 信和 度 , 因 此 安全 保证 计划 应 当 确 
定安 全 保证 等 级 的 级 别 , 如 * 低 ”“ 中 ”“ 高 ”, 并 描述 每 个 级 别 的 相关 技术 和 标准 ,还 要 描述 
集中 应 用 该 技术 的 特定 环境 。 为 了 确定 安全 保证 等 级 ,ISSE 小 组 和 客户 共同 确定 一 个 负面 
的 安全 结果 清单 , 即 违背 安全 需求 的 事件 ,并 对 清单 进行 排列 和 分 类 ,每 个 类 别 都 要 有 清晰 
的 安全 可 信 级 别 , 在 此 级 别 上 负面 的 结果 将 不 会 出 现 。 确 定 的 安全 保证 等 级 与 抵御 潜在 敌 
方 攻击 等 级 及 其 技术 能 力 、 投 入 资源 的 能 力 和 动机 相关 联 。 

在 这 方面 国家 应 当 制 定 一 些 适 用 于 ISSE 的 安全 保证 需求 的 公用 标准 (如 橘 皮 书 ) 。 


2.4.2 安全 需求 


安全 需求 定义 是 指 采用 某 种 方法 描述 用 户 对 信息 系统 安全 的 要 求 。 定 义 方法 有 两 种 : 
形式 化 定义 和 非 形式 化 定义 。 传 统 的 做 法 把 安全 作为 非 功 能 需求 之 一 ,附加 在 系统 需求 分 
析 之 后 进行 , 且 大 多 采用 非 形式 化 定义 方法 。 形 式 化 定义 则 是 借助 数学 工具 来 精确 描述 安 
全 需求 ,建立 适当 的 安全 策略 模型 ,便于 安全 设计 、 实 现 和 验证 。 对 信息 系统 安全 的 可 用 性 、 
可 审计 性 、 身 份 认证 和 防 否 认 性 尚 无 较 好 的 形式 化 定义 和 策略 模型 。John McDermott 和 
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Chris Fox 提出 一 种 采用 妄 用 例 模 型 (Abuse case model) 捕 获 和 分 析 安 全 需求 的 模型 。 亡 
用 例 (Abuse case) 被 定义 为 系统 与 一 个 或 多 个 操作 者 之 间 的 一 类 交互 ,交互 的 结果 对 系统 
或 操作 者 或 系统 的 所 有 者 是 有 害 的 。Mariana Gerber 等 则 提出 一 种 采用 二 维和 矩阵 的 安全 需 
求 定义 方法 ,其 中 第 一 维 定义 信息 系统 安全 问题 的 百分比 分 布 , 第 二 维 描述 安全 事件 的 后 果 
对 服务 .产品 和 业务 过 程 的 影响 ,也 是 通过 提问 的 方式 得 到 百分比 。 将 上 述 二 维 结合 起 来 ， 
形成 矩阵 ,最 后 确定 组 织 对 安全 问题 的 需求 ,并 分 为 低 . 中 ,高 3 个 档次 。 关 于 安全 需求 的 内 
容 将 在 第 4 章 详细 展开 。 


2.4.3 安全 设计 


安全 设计 是 信息 系统 安全 的 重要 内 容 , 它 是 根据 系统 的 安全 需求 ,设计 系统 的 整体 安全 
框架 ,提出 系统 在 总 体 方面 的 策略 要 求 .各 个 子 系统 应 该 实现 的 安全 技术 措施 、 安 全 管理 措 
施 等 ,形成 用 于 指导 信息 系统 具体 安全 建设 的 安全 方案 。 安 全 设计 包括 物理 实体 安全 设计 、 
硬件 系统 和 通信 网 络 安全 设计 、 软 件 系 统 和 数据 的 安全 设计 等 内 容 。 从 ISSE 的 角度 来 看 ， 
安全 周期 的 各 个 阶段 包含 安全 设计 。 关 于 安全 设计 内 容 将 在 第 5 章 详 细 展 开 。 


2.4.4 安全 运行 


安全 运行 分 析 是 确保 信息 系统 正常 运行 的 必要 环节 , 它 影 响 产 品 .过 程 和 系统 安全 需求 
的 解决 方案 。 安 全 运行 概念 分 析 和 定义 是 系统 工程 和 ISSE 过 程 的 综合 ,为 认证 和 认可 提 
供 关键 数据 。 

在 系统 生命 周期 内 ,安全 运行 分 析 要 有 以 下 形式 的 文档 : 

(1) 设计 评审 说 明 。 

(2) 培训 材料 和 文件 。 

(3) 人 的 接口 要 求 。 

(4) 系统 环境 假设 规范 。 

(5) 程序 和 政策 文档 。 

以 上 文档 需要 进行 提交 评审 。 

安全 运行 概念 、 理 论 和 过 程 解决 方案 的 开发 ,从 概念 阶段 开始 ,并 持续 到 配置 审计 阶段 ， 
在 系统 进入 运行 期 后 ,这 一 开发 将 继续 并 进一步 演变 ,理论 分 析 最 终 变 成 了 实际 的 运行 
模式 。 

反复 应 用 于 系统 生命 周期 内 的 安全 运行 分 析 集 中 在 以 下 几 个 方面 : 

(1) 确定 与 其 他 系统 进行 交互 的 环境 要 素 。 

(2) 确定 扮演 的 角色 ,如 系统 用 户 、 系 统 维护 人 员 、 系 统管 理 员 、 假 定 的 威胁 代理 。 

(3) 确定 自动 化 角色 ,如 数据 源 点 、 数 据 发 散 点 、 远 程 应 用 操作 员 、 网 络 服务 命令 发 
起 者 。 

(4) 确定 在 其 任务 环境 中 与 操作 系统 交互 的 方法 和 方式 。 

通常 ,安全 运行 分 析 不 包括 与 系统 结构 和 行为 有 关 的 内 容 , 也 不 包括 可 见 的 外 部 自动 化 
接口 。 计 算 机 存储 器 的 精确 配置 通常 与 安全 运行 分 析 无 关 。 

需要 考虑 的 典型 运行 情况 有 : 

(1) 在 正常 和 不 正常 条 件 下 启动 和 关机 。 
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(2) 系统 和 人 对 错误 条 件 或 安全 事件 的 环境 反应 。 

(3) 系统 或 组 件 失 灵 时 ,要 在 预先 计划 好 的 退化 方式 下 维持 运行 。 
(4) 可 在 不 同 模式 下 运行 。 

(5) 对 安全 事件 或 自然 灾害 的 响应 .恢复 模式 。 

(6) 系统 对 关键 性 和 常见 的 内 部 和 外 部 事件 的 反应 。 

安全 运行 涉及 的 分 析 角 色 包 括 : 

(1) 用 户 。 

(2) 安装 者 、 维 护 者 。 

(3) 管理 者 。 

(4) 威胁 代理 。 


2.4.5 生命 周期 安全 


虽然 安全 计划 可 以 在 系统 生命 周期 的 任何 时 刻 制 定 , 但 是 建议 在 系统 生命 周期 的 开始 
阶段 制定 ,包括 理解 安全 需求 、 参 与 安全 产品 评估 并 最 终 实 现 系 统 的 工程 化 设计 及 实施 。 安 
全 与 信息 系统 的 其 他 方面 一 样 ,对 整个 信息 系统 生命 周期 各 阶段 都 进行 计划 是 最 好 的 管理 
方式 。 信 息 界 长 期 以 来 认同 的 原则 是 ,系统 设计 完成 后 在 其 中 增加 安全 特性 比 在 系统 初始 
的 设计 阶段 包含 该 特性 要 多 花费 十 倍 的 时 间 。 在 系统 开发 之 后 再 改进 安全 解决 方案 将 更 困 
难 ,通常 成 本 也 更 高 ,而 且 还 很 可 能 打 断 系统 的 持续 运行 。 安 全 也 需要 融入 到 信息 系统 生命 
周期 的 后 期 ,以 协助 确保 安全 能 够 跟 得 上 系统 环境 、 技 术 、 规 程 和 人 员 的 变化 。 它 还 确保 在 
系统 升级 时 考虑 到 安全 问题 ,包括 采购 新 的 部 件 或 设计 新 的 模块 时 。 在 安全 入 侵 、 灾 难 或 审 
计 后 对 系统 增加 新 的 安全 控制 会 造成 无 计划 的 安全 实施 ,这 种 实施 比 一 开始 就 将 安全 集成 
到 系统 中 要 更 昂贵 和 缺乏 效率 ,而 且 还 会 严重 地 降低 系统 的 性 能 。 当 然 , 事 先 考 虑 到 系统 生 
命 周 期 中 所 有 的 问题 实际 上 也 是 不 可 能 的 。 所 以 ,通常 至 少 应 该 在 生命 周期 每 个 阶段 结束 
时 ,或 每 次 重新 审批 后 更 新 系统 安全 计划 。 对 于 许多 系统 ,可 能 需要 更 频繁 地 更 新 ,产生 一 
个 反复 式 的 系统 开发 生命 周期 。 

信息 系统 生命 周期 模型 有 很 多 ,但 是 大 多 包含 5 个 基本 阶段 。 

(1) 起 始 阶段 。 

在 起 始 阶 段 ,表述 系统 的 需要 并 记录 系统 的 目的 。 

(2) 开发 或 采购 阶段 。 

在 这 个 阶段 对 系统 进行 设计 、 购 买 ,编程 .开发 或 其 他 形式 的 构建 。 这 个 阶段 经 常 包 含 
所 定义 的 其 他 周期 ,如 系统 开发 周期 或 采购 周期 。 

(3) 实施 阶段 。 

在 初期 的 系统 测试 后 ,系统 被 安装 到 位 。 

(4) 运行 和 维护 阶段 。 

在 这 个 阶段 系统 执行 其 工作 。 几 乎 总 是 要 对 系统 进行 修改 ,增加 硬件 .软件 或 发 生 其 他 
大 量 的 事情 。 

(5) 废弃 阶段 。 

当 完 成 向 新 系统 转移 的 工作 后 , 旧 系 统 被 废弃 。 

系统 项 目 办 公 室 与 用 户 一 起 开发 一 些 机 制 以 提供 维护 系统 安全 状态 的 长 期 能 力 , 也 就 
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是 监督 在 系统 整个 生命 周期 各 阶段 的 计划 ,包括 开发 生产、 现场 工作 、 维 护 . 培 训 和 拆除 。 

本 节 主 要 介绍 信息 系统 生命 周期 的 安全 活动 。 

1. 起 始 阶段 

确定 系统 概念 和 早期 设计 过 程 通常 涉及 新 系统 需求 的 发 现 ; 系统 特征 的 初期 建议 和 所 
推荐 的 功能 ; 关于 系统 体系 结构 ,功能 和 性 能 方面 的 讨论 ; 以 及 环境 .财政 ,政治 或 其 他 方 
面 的 约束 。 同 时 ,系统 安全 方面 的 主要 问题 应 该 在 系统 设计 早期 考虑 ,可 以 通过 敏感 性 评估 
来 进行 。 

敏感 性 评估 既 考察 所 处 理 信息 的 敏感 性 ,也 考察 系统 本 身 的 敏感 性 。 评 估 应 考虑 法 规 
要 求 、. 机 构 政策 以 及 系统 的 功能 需要 。 敏 感性 通常 以 机 密 性 .可 用 性 和 完整 性 表示 。 在 评估 
敏感 性 时 需要 考察 系统 对 机 构 使 命 的 重要 性 ,系统 或 数据 的 非 授权 泄露 .更改 或 无 法 使 用 的 
影响 这 类 因素 。 为 了 处 理 这 些 问 题 , 系 统 的 拥有 者 、 使 用 者 和 安全 评估 的 评估 者 应 该 参与 
评估 。 

敏感 性 评估 应 该 考虑 以 下 问题 : 

(1) 系统 处 理 的 信息 。 

(2) 数据 或 系统 的 错误 . 非 授权 泄露 ,更改 或 无 法 使 用 造成 的 潜在 损害 。 

(3) 影响 安全 的 法 律 或 法 规 。 

(4) 系统 或 信息 对 于 威胁 的 脆弱 性 。 

(5) 特别 考虑 的 环境 因素 ,如 系统 处 于 危险 的 位 置 。 

(6) 用 户 拥有 的 安全 知识 ,如 技术 掌握 和 培训 水 平 或 安全 许可 证 。 

(7) 适用 于 系统 的 安全 标准 ,法 规 或 指导 方针 。 

2. 开发 或 采购 阶段 

1) 确定 安全 需求 

在 开发 或 采购 阶段 的 初期 ,系统 计划 者 定义 系统 的 需求 ,安全 需求 与 此 同时 制定 。 系 统 
安全 需求 与 其 他 系统 需求 一 样 ,是 从 法 律 政策 .适用 的 标准 和 指导 方针 、 系 统 的 功能 需要 ， 
以 及 成 本 效益 的 平衡 取舍 等 方面 导出 的 。 确 定安 全 特性 、 保 证 和 运行 措施 可 以 获得 大 量 的 
安全 信息 。 对 这 些 信息 进行 确认 、 更 新 并 将 其 整理 为 系统 设计 者 或 购买 者 使 用 的 、 详 细 的 安 
全 保护 需求 和 规格 说 明 。 

2) 生命 周期 安全 的 开发 方法 

ISSE 小 组 `.LCIE 和 客户 一 起 ,为 系统 整个 生命 周期 定义 一 个 可 理解 的 安全 方案 。 由 于 
某 些 系统 的 安全 需求 可 采用 非 技术 的 过 程 而 不 是 技术 产品 解决 方案 ,在 开发 阶段 以 及 运行 
阶段 要 与 负责 系统 安全 的 各 种 机 构建 立 密 切 关 系 。 这 些 机 构 可 能 有 助 于 场地 勘测 、 物 理 和 
管理 安全 分 析 及 对 策 分 析 。 

ISSE 小 组 ,LCIE 和 客户 .C&A 小 组 要 一 起 制定 系统 生命 周期 的 安全 计划 。 对 ISSE 
小 组 来 讲 , 要 考虑 的 问题 如 下 : 

(1) 在 开发 ,测试 和 使 用 期 间 对 系统 进行 监控 ,以 确保 与 安全 需求 持续 一 致 ,不 能 在 可 
接受 范围 之 外 增加 额外 的 风险 。 

(2) 系统 培训 一 定 要 涉及 安全 特性 和 限制 ,这 样 才能 保证 在 日 益 增 多 的 安全 风险 中 操 
作 和 维护 产生 错误 的 可 能 性 受到 控制 并 且 可 以 接受 。 
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(3) 追踪 与 安全 有 关 的 组 成 单元 的 处 理 指令 ,使 其 遵守 相应 的 法 规 和 规则 ,不 能 增加 安 
全 风险 。 

(4) 保证 配置 管理 过 程 是 适当 的 ,以 避免 在 无 适当 批准 的 情况 下 使 安全 风险 上 升 。 

(5) 确定 与 系统 偶然 性 运行 计划 相 匹 配 的 系统 安全 偶然 性 计划 ,以 便 使 系统 可 以 承受 
更 大 的 风险 。 

(6) 为 系统 提供 安全 评价 ,专门 发 现 系 统 的 安全 漏洞 和 薄弱 环节 ,弥补 这 些 安全 漏洞 和 
薄弱 环节 ,提高 系统 安全 防护 能 力 。 

(7) 保证 后 勤 和 维护 能 够 支持 系统 中 与 安全 有 关 的 组 件 的 需求 ,使 其 不 能 引起 安全 风 
险 的 增加 。 

生命 周期 对 安全 的 主要 目的 是 确保 系统 的 保护 手段 在 运行 和 支持 阶段 依然 满足 其 安全 
目标 。 要 明确 提出 引起 不 可 接受 安全 风险 的 已 知 缺陷 , 并 采取 修改 措施 进行 弥补 。 对 于 安 
全 违规 ,安全 检查 或 安全 审计 中 发 现 的 安全 缺陷 ,或 授权 期 满 , 都 要 进行 修改 。 

直接 或 更 宽 范围 内 环境 的 改变 影响 系统 安全 形势 和 解决 方案 的 变化 有 : 

(1) 任务 和 被 保护 的 信息 重要 性 或 敏感 性 改变 ,可 能 导致 安全 需求 和 要 求 的 对 抗 措施 
的 改变 。 

(2) 威胁 的 改变 使 系统 的 安全 风险 增加 或 减少 。 

(3) 应 用 的 改变 要 求 不 同 的 安全 操作 模式 。 

(4) 发 现 新 的 安全 攻击 手段 。 

(5) 破坏 安全 、 破 坏 系 统 完整 性 或 通过 揭示 安全 缺陷 使 授权 无 效 的 异常 事件 或 小 事件 。 

(6) 新 的 安全 审计 、 检 查 和 外 部 评价 结果 。 

(7) 系统 、 子 系统 或 组 成 单元 配置 的 改变 或 修改 。 

(8) 排除 或 降低 配置 项 。 

(9) 排除 或 降低 系统 过 程 的 对 抗 性 措施 。 

(10) 与 新 的 外 部 接口 相连 。 

(11) 运行 环境 的 改变 。 

(12) 新 对 抗 技 术 的 应 用 。 

(13) 系统 安全 授权 期 满 。 

3) 系统 安全 监控 的 部 署 

系统 安全 功能 在 系统 运行 期 间 应 能 被 连续 监控 ,并 通过 生命 周期 安全 把 问题 提前 设计 
到 系统 中 。ISSE 小 组 进行 折 中 研究 以 确定 什么 样 的 监控 手段 可 以 提供 最 好 的 成 本 一 效益 
比 并 在 可 接受 的 风险 范围 内 。 

3. 实施 阶段 

在 一 些 生命 周期 计划 中 可 能 没有 特定 的 实施 阶段 。 它 通常 被 纳入 开发 和 采购 的 后 期 或 
运行 和 维护 的 前 期 。 

1) 配置 管理 

配置 管理 是 对 系统 变化 进行 控制 的 过 程 ,系统 包括 硬件 .软件 .文档 测试 设备 等 。 建 立 
一 个 配置 控制 委员 会 (Configuration Control Board,.CCB) ,用 于 审查 和 批准 系统 的 修改 。 
CCB 成 员 包括 ISSE 小 组 .LCIE、C&A 或 其 他 相关 的 信息 系统 安全 代表 。 

在 系统 整个 生命 周期 内 ,实行 配置 管理 的 原因 包括 : 
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(1) 系统 在 不 断 变 化 和 演变 。 

(2) 在 生命 周期 内 的 某 一 给 定点 上 维持 一 个 基线 。 

(3) 偶然 事件 造成 的 毁坏 。 

(4) 对 C&A 证 据 的 追踪 。 

(5) 系统 资源 的 有 限 集合 在 使 用 期 内 将 增长 。 

(6) 配置 项 的 身份 证 明 。 

(7) 配置 控制 。 

(8) 配置 会 计 学 。 

(9) 配置 审计 。 

ISSE 小 组 保证 系统 配置 的 过 程 在 系统 生命 周期 内 都 保持 工作 状态 ,并 以 信息 系统 安全 
为 关键 目的 。CCB 成 员 参 与 配置 过 程 ,并 发 现 和 评估 对 安全 有 影响 的 改变 。 

2) 安全 测试 

系统 安全 测试 包括 对 所 开发 或 采购 的 系统 特定 部 分 的 测试 和 整个 系统 的 测试 。 物 理 设 
施 、 人 事 、 规 程 . 安 全 管理 ,商业 或 内 部 服务 (如 网 络 服务 ) 的 使 用 以 及 应 急 计 划 是 对 整体 系统 
安全 产生 影响 的 例子 ,但 它们 可 能 处 于 开发 或 采购 周期 之 外 的 领域 。 因 为 只 有 在 开发 或 采 
购 周期 之 内 的 部 分 才 会 在 系统 接收 测试 中 得 到 测试 ,所 以 可 能 需要 对 这 些 额 外 的 安全 组 件 
进行 独立 的 测试 或 审查 。 

3) 审批 

系统 安全 审批 是 审批 人 员 对 系统 运行 的 正式 授权 和 对 风险 的 明确 接受 。 它 通常 由 对 系 
统管 理 . 运 行 和 技术 控制 等 的 检查 支持 。 检 查 可 以 包括 详细 的 技术 测评 、 安 全 测评 .风险 评 
估 、 审 计 或 其 他 此 类 检查 。 如 果 生 命 周期 过 程 被 用 于 管理 一 个 项 目 , 如 系统 升级 ,认识 到 审 
批 是 针对 整个 系统 而 不 仅 是 新 增 部 分 是 很 重要 的 。 

审批 过 程 迫使 管理 者 做 出 提供 充分 安全 防范 措施 的 关键 决定 。 基 于 技术 和 非 技 术 防 范 
措施 的 有 效 性 以 及 残留 风险 的 可 靠 信息 所 做 出 的 的 决定 更 可 能 是 个 好 决定 。 在 决定 安全 防 
范 措施 和 残留 风险 的 可 接受 性 后 ,审批 人 员 发 表 正 式 的 审批 意见 。 在 某 些 情况 下 ,可 能 会 临 
时 执行 审批 ,允许 系统 运行 并 在 过 渡 期 结束 时 接受 检查 ,这 时 就 完成 了 安全 升级 。 

4) 安全 培训 

信息 系统 复杂 性 ,统一 性 、 开 放 性 、 互 联 性 在 给 人们 的 工作 和 生活 带 来 方便 的 同时 ,对 信 
息 的 安全 也 构成 了 严重 的 威胁 。 因 此 加 强 用 户 信息 系统 各 类 人 员 安 全 意识 和 安全 技术 的 培 
训 是 当前 确保 信息 系统 安全 运行 急需 采取 的 一 项 重要 措施 ,也 是 信息 系统 安全 工程 的 重要 
内 容 。 

建立 一 套 完整 的 培训 体系 ,能 够 为 员工 提供 满足 组 织 需 求 并 适用 于 系统 工程 活动 的 、 及 
时 有 效 的 知识 与 技能 培训 。 以 项 目的 要 求 .组织 的 战略 计划 和 现 有 的 员工 技能 情况 为 指导 ， 
确定 组 织 在 技能 与 知识 方面 所 需 的 改进 。 

培训 是 整个 系统 生命 周期 内 所 必需 的 。 培 训 就 是 要 培养 具有 安全 资质 的 信息 系统 安全 
保障 人 员 ,以 满足 信息 保障 不 断 变化 的 需求 。ISSE 小 组 鼓励 用 户 参 与 对 系统 正确 配置 、 维 
护 和 安全 特性 使 用 的 有 关 培 训 活动 。 这 种 培训 可 以 针对 系统 管理 员 、 系 统 开发 者 .系统 维护 
人 员 、 机 构 执 行 官 ,安全 官员 、 安 全 认证 者 或 评估 者 等 。 培 训 人 员 要 具备 执行 赋予 他 们 的 角 
色 的 技能 与 知识 ,并 要 根据 培训 计划 和 编制 的 材料 进行 人 员 培 训 。 培 训 课 程 需要 进行 审核 ， 
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以 便 确定 其 中 是 否 包 含 与 安全 相关 的 培训 材料 。 培 训 完 成 后 要 评估 培训 的 有 效 性 以 满足 所 
确定 的 培训 要 求 。 评 估 有 效 性 的 方法 应 与 培训 计划 编制 和 培训 材料 的 拟定 同时 列 出 并 及 时 
获取 有 效 性 评估 的 结果 ,以 便 对 培训 做 出 相应 调整 。 要 对 培训 记录 进行 维护 以 追踪 每 个 人 
员 接 受 培 训 的 情况 ,以 及 受训 后 的 技能 和 能 力 。 通 过 培训 ,使 其 具备 专业 技能 、 相 关 知识 、 所 
需 管理 能 力 , 使 其 在 信息 系统 以 及 信息 基础 设施 受到 威胁 时 进行 有 效 的 预防 .阻止 和 响应 。 

培训 内 容 包括 : 系统 的 操作 流程 和 方法 ; 安全 意识 、 基 本 安全 技术 知识 和 安全 管理 知 
识 ; 系统 维护 和 安全 功能 的 使 用 ; 安全 管理 制度 和 管理 流程 ; 系统 安全 事件 的 应 急 处 理 流 
程 和 恢复 流程 。 

4. 运行 和 维护 阶段 

1) 后 勤 和 维护 

ISSE 小 组 应 保证 后 勤 支持 需求 是 在 考虑 系统 的 安全 需求 后 开发 的 ,并 保证 这 些 安全 需 
求 在 系统 的 后 勤 计划 中 被 提出 来 。 需 要 给 出 所 要 求 的 任务 .设备 .技能 人员、 材料 服务、 供 
应 品 和 程序 的 定义 ,保证 系统 最 终 项 目的 提供 、 存 放 和 维修 。 如 果 没 有 良好 定义 的 过 程 ,并 
持续 使 用 不 合适 的 工程 和 系统 分 析 技 术 ,系统 的 质量 和 可 靠 性 在 运行 和 维护 过 程 中 可 能 亚 
化 ,导致 维护 和 和 运行 费用 的 增加 。 

后 勤 支 持 是 管理 和 技术 活动 经 过 训练 的 ,统一 和 反复 应 用 的 方案 ,管理 和 技术 活动 是 下 
列 活动 所 必需 的 : 

(1) 集成 后 勤 支持 到 系统 和 装备 的 设计 中 。 

(2) 开发 与 备用 项 目 . 设 计 有 关 的 支持 需求 。 

(3) 获取 必要 的 支持 。 

(4) 以 最 小 的 代价 在 运行 期 间 提供 必要 的 支持 。 

2) 系统 更 改 

系统 及 其 运行 的 环境 会 发 生 持 续 的 更 改 。 为 了 响应 诸如 用 户 的 抱怨 .出现 新 的 特性 和 
服务 或 发 现 新 的 威胁 和 缺陷 ,系统 管理 者 和 用 户 需 要 修改 系统 并 增加 新 的 特性 、 新 的 规程 和 
对 软件 进行 升级 。 

系统 运行 的 环境 也 会 更 改 。 网 络 和 网 络 互 连 有 增加 的 趋势 。 可 能 会 增加 新 的 用 户 组 ， 
这 可 能 是 外 部 用 户 组 或 匿名 用 户 组 。 新 的 威胁 可 能 会 出 现 ,如 网 络 入 侵 的 增加 或 个 人 计算 
机 病毒 的 扩散 。 如 果 系 统 有 配置 控制 委员 会 或 其 他 管理 系统 技术 更 改 的 机 构 , 可 以 安排 安 
全 专家 在 委员 会 中 工作 以 便 就 更 改 是 否 影响 安全 做 出 判断 。 

当 发 生 或 计划 更 改 时 ,要 决定 更 改 是 较 小 的 还 是 重大 的 。 重 大 的 更 改 , 如 重新 设计 系统 
的 结构 ,会 极 大 地 影响 到 系统 。 重 大 更 改 经 常 涉及 购买 新 的 硬件 软件、 服务 或 对 新 的 软件 
模块 进行 开发 。 

(1) 较 小 更 改 。 

对 系统 的 更 改 无 须 进行 深入 分 析 ,但 还 是 需要 一 些 分 析 。 每 一 个 更 改 都 可 以 进行 有 限 
的 分 析 来 衡量 优点 (收益 ) 和 缺点 (成 本 ) ,这 甚至 可 以 在 会 议 中 当场 进行 。 即 使 进行 非 正式 
的 分 析 ,决定 还 是 应 该 被 适当 地 记录 在 文档 中 。 在 这 个 过 程 中 ,即使 是 “很 小 ”的 决定 也 最 好 
是 基于 风险 做 出 的 。 

ISSE 小 组 在 计划 和 开发 较 小 更 改 时 ,必须 和 客户 紧密 合作 。 较 小 更 改 往往 是 系统 运行 
和 维护 基金 内 可 以 处 理 的 或 者 得 到 机 构 运行 资金 支持 的 更 改 , 较 小 更 改 的 开发 活动 远 比 系 
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统 开发 规模 小 。ISSE 小 组 应 参与 到 这 些 更 改 中 ,以 保证 可 接受 安全 风险 等 级 的 系统 安全 
状况 不 能 因 更 改 而 降低 。 对 于 提议 的 系统 更 改 ,ISSE 小 组 应 基于 需求 的 更 改 特性 做 出 
判断 。 

(2) 重大 更 改 。 

有 时 可 能 需要 对 系统 进行 一 处 或 多 处 更 改 , 其 至 完全 替代 系统 。 当 需要 大 量 新 的 资源 、 
特殊 或 大 规模 采购 或 大 规模 工程 人 力 资源 时 ,需要 改变 系统 的 大 部 分 或 特别 关键 部 分 时 ,就 
认为 是 重大 更 改 。 

重大 更 改 需 要 进行 分 析 以 确定 安全 需求 ,分 析 可 能 仅仅 集中 在 发 生 或 将 要 发 生 更 改 的 
领域 。 如 果 在 整个 生命 周期 中 原来 的 分 析 和 系统 的 更 改 都 被 记录 在 文档 中 ,分 析 工 作 一 般 
会 很 容易 进行 。 因 为 这 种 更 改 源 自重 要 系统 的 获得 、 开 发 工作 ,或 政策 的 更 改 ,所 以 应 该 重 
新 审批 系统 以 确保 残留 风险 仍然 是 可 接受 的 。 

5. 废弃 阶段 

废弃 阶段 涉及 信息 、 硬 件 和 软件 的 处 置 。 信 息 可 以 转移 到 其 他 系统 、 存 档 、 丢 弃 或 销毁 。 
当 存 档 信息 时 应 该 考虑 未 来 取 回 信息 的 方法 。 用 于 创建 记录 的 技术 在 未 来 可 能 无 法 随时 获 
得 。 硬 件 和 软件 可 以 被 出 售 、 赠 送 或 丢弃 。 除 了 一 些 包 含 保密 信息 的 存储 介质 只 有 用 销毁 
的 方式 清除 以 外 ,很 少 有 硬件 需要 被 销毁 。 如 果 有 必要 ,软件 的 处 置 应 遵循 许可 证 和 其 他 与 
开发 商 的 协议 。 一 些许 可 证 是 针对 站 点 的 或 包含 防止 软件 被 转移 的 其 他 协议 ,也 可 能 要 采 
取 措 施 对 数据 进行 加 密 以 便 将 来 使 用 ,如 采取 适当 的 步骤 确保 对 密 钥 的 长 期 和 安全 存储 。 

系统 的 废弃 处 置 ,还 应 考虑 到 短期 和 长 期 可 能 破坏 环境 和 伤 及 人 与 动物 健康 的 影响 。 
系统 工程 处 置 功能 还 包括 再 生 、 材 料 恢复 废物 利用 ,以 及 对 开发 和 生产 过 程 中 副产品 的 处 
置 。ISSE 小 组 应 保证 为 系统 所 制定 的 处 置 计划 要 充分 考虑 到 该 系统 生命 周期 的 有 关 安 全 
方面 的 问题 。 


2.4.6 安全 风险 管理 


1. 安全 风险 管理 概述 

信息 系统 存在 安全 隐患 ,需要 有 安全 意识 和 行为 来 防范 。 安 全 风险 管理 (Security Risk 
Management,SRM) ,是 一 个 条 理化 的 分 析 过 程 ,目的 是 确定 在 什么 情况 下 可 能 产生 错误 ， 
评估 安全 风险 以 及 实现 处 理 安全 风险 的 手段 。 安 全 风险 管理 确定 可 接受 的 风险 .评估 风险 
的 当前 程度 ,采取 措施 将 风险 降低 到 可 接受 水 平 。 

安全 风险 是 对 达到 技术 性 能 、 成 本 和 进度 方面 的 目的 和 目标 的 不 确定 性 的 一 种 度量 。 
安全 风险 等 级 是 用 安全 事件 和 安全 事件 出 现 的 概率 来 分 类 。 风 险 源 包括 以 下 几 个 方面 : 

(1) 技术 方面 。 

可 行 性 、 可 操作 性 、 可 生产 性 、 可 测试 性 、 可 维修 性 ,技术 和 材料 的 可 获取 性 和 系统 的 有 
效 性 。 

(2) 进度 方面 。 

技术 材料 的 可 用 性 技术 成 果 和 里 程 碑 。 

(3) 资源 方面 。 

资源 的 利用 率 和 资源 的 保护 程度 。 
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(4) 合同 方面 。 

进度 和 成 本 。 

传统 的 安全 风险 管理 的 方法 有 两 种 : 反应 性 方法 和 前 脆性 方法 ,它们 各 有 优 缺 点 。 

(1) 反应 性 方法 。 

当 一 个 安全 事件 发 生 时 ,很 多 IT 专业 人 员 感 到 唯一 可 行 的 就 是 进行 遏制 ,指出 发 生 了 
什么 事情 ,并 尽 可 能 快 地 修复 受 影响 的 系统 。 有 些 会 试图 确定 根本 原因 ,但 是 对 于 那些 在 极 
端 资源 限制 条 件 下 的 人 而 言 ,似乎 是 不 可 能 的 。 反 应 性 方法 是 一 种 对 已 经 被 利用 并 转换 为 
安全 事件 的 安全 风险 的 有 效 技术 响应 ,使 反应 性 方法 具有 一 定 程度 的 严密 性 ,可 帮助 所 有 类 
型 的 组 织 更 好 地 利用 他 们 的 资源 。 

最 近 的 安全 事件 可 帮助 组 织 预测 将 来 的 问题 并 做 好 准备 工作 。 这 意味 着 如 果 组 织 以 一 
种 平静 且 理 性 的 方式 来 响应 安全 事件 ,并 且 确 定 允 许 事件 发 生 的 根本 原因 , 则 能 够 更 好 地 保 
护 组 织 在 将 来 不 受 类 似 问题 的 伤害 ,并且 能 更 快 地 响应 可 能 出 现 的 其 他 问题 。 

(2) 前 脆性 方法 。 

与 反应 性 方法 相 比 ,前 瞻 性 安全 风险 管理 有 很 多 优点 。 与 等 待 坏 事情 发 生 然后 再 做 出 
响应 不 同 ,前 脆性 方法 首先 最 大 程度 地 降低 坏事 情 发 生 的 可 能 性 。 通 过 制定 计划 .实施 控制 
来 保护 组 织 的 重要 资产 ,这 些 控制 减少 被 恶意 软件 .攻击 者 或 偶然 误 用 等 利用 漏洞 的 风险 。 
组 织 不 应 完全 放弃 事件 响应 。 有 效 的 前 瞻 性 方法 可 帮助 组 织 显 著 减 少将 来 发 生 安全 事件 的 
数量 ,但 是 似乎 此 类 问题 并 不 会 完全 消失 。 因 此 ,组 织 应 继续 改善 他 们 的 事件 响应 流程 , 同 
时 制定 长 期 的 前 脆性 方法 

风险 管理 是 包括 以 下 4 个 阶段 的 循环 。 

第 一 阶段 : 风险 的 识别 与 评价 。 

第 二 阶段 : 风险 的 分 类 。 

第 三 阶段 : 制定 对 应 的 风险 控制 方案 。 

第 四 阶段 : 执行 方案 。 

(1) 风险 的 识别 与 评价 。 

风险 识别 是 风险 管理 的 基础 ,也 是 风险 管理 的 第 一 步 。 只 有 正确 识别 出 自身 所 面临 的 
风险 ,才能 主动 选择 有 效 的 方法 进行 处 理 。 风 险 可 以 是 多 种 多 样 的 ,风险 识别 的 任务 就 是 从 
错综复杂 的 环境 中 找 出 系统 所 面临 的 主要 风险 。 风 险 识 别 可 以 通过 感性 认识 和 历史 经 验 来 
判断 ,也 可 以 通过 对 各 种 客观 资料 和 风险 事故 记录 来 分 析 、 归 纳 和 整理 ,以 及 进行 必要 的 专 
家 访问 ,从 而 找 出 各 种 明显 和 潜在 的 风险 及 其 损失 规律 。 因 为 风险 具有 可 变性 ,所 以 风险 识 
别 是 一 项 持续 性 和 系统 性 的 工作 ,要 求 风险 管理 者 密切 注意 原 有 风险 的 变化 ,并 随时 发 现 新 
的 风险 。 

风险 评价 是 对 系统 发 生 事故 的 危险 性 进行 定性 或 定量 分 析 , 评 价 系统 发 生 和 危险 的 可 能 
性 及 其 严重 程度 ,以 确保 最 低 的 事故 率 、 最 少 的 损失 和 最 优 的 安全 投资 效益 。 

(2) 风险 的 分 类 。 

风险 分 析 之 后 ,对 风险 进行 分 类 、 整 理 , 然 后 考虑 控制 对 策 。 可 以 把 风险 分 为 3 大 类 。 

第 一 类 : 发 生 频 率 低 且 每 次 发 生 损失 额 小 ,此 类 风险 可 无 视 它 ,不 需 特别 的 对 策 和 
控制 。 

第 二 类 : 经 常 发 生 的 风险 ,如 系统 不 能 正常 运行 。 对 此 类 风险 ,要 分 析 选 取 可 行 的 控制 
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方案 。 

第 三 类 : 指 火灾 、 地 震 等 不 常 发 生 的 灾难 ,发 生 的 概率 很 低 , 一 旦 发 生 损 失 相 当 大 。 对 
此 类 风险 ,要 正确 估计 发 生 的 概率 是 相当 困难 的 ,但 要 充分 重视 ,万 一 发 生 , 损 失 极 大 。 

(3) 执行 风险 控制 方案 。 

在 完成 了 风险 分 析 之 后 ,ISSE 需要 比较 所 有 备 选 的 行动 方案 ,深入 分 析 各 类 相应 的 安 
全 对 策 是 如 何 改善 和 减缓 当前 风险 状态 以 及 系统 的 任务 功能 的 。 基 于 风险 分 析 , 决 策 者 决 
定 风险 控制 方案 。 决 策 的 基础 是 威胁 和 脆弱 性 风险 、 风 险 对 策 成 本 和 任务 的 功能 性 ,以 及 风 
念 对策 减 缓 整个 风险 的 有 效 性 。ISSE 将 记录 参与 风险 的 情况 。 

(4) 执行 方案 。 

信息 系统 只 有 在 该 系统 是 运行 在 本 地 的 DAA 可 接受 的 风险 级 别 时 才 算 完成 。 它 通过 
验证 和 确认 来 实现 。 

验证 是 确保 系统 能 够 满足 已 经 声明 并 文档 化 的 需求 的 过 程 。 确 认 是 指 再 次 检验 系统 是 
否 达 到 规定 的 目标 ,系统 能 否 全 面 实 施 。 

2. 安全 风险 管理 计划 

安全 风险 管理 是 ISSE 过 程 中 的 一 个 子 过 程 , 并 贯穿 于 系统 的 生命 周期 内 , 它 是 集成 在 
ISSE 过 程 中 的 重要 组 成 部 分 。 在 系统 开发 早期 , ISSE 小 组 就 要 制定 系统 生命 周期 内 的 安 
全 风险 管理 计划 。 只 要 ISSE 小 组 认为 适当 ,安全 风险 管理 计划 就 应 集成 到 现 有 的 与 安全 
有 关 的 项 目 计 划 中 去 。 

在 安全 风险 管理 计划 中 ,安全 风险 要 考虑 的 主要 因素 包括 : 

(1) 覆盖 给 定 系统 生命 周期 过 程 的 安全 风险 管理 策略 。 策 略 可 由 正式 的 安全 风险 评估 
委员 会 的 活动 构成 ,也 可 由 简化 的 安全 风险 评审 构成 ,或 者 两 者 兼 有 。 

(2) 安全 风险 文档 , 即 综合 安全 风险 评估 报告 。 

(3) 收集 传播 安全 风险 信息 计划 , 即 安全 风险 管理 期 间 的 密级 分 类 规则 。 

(4) 建立 项 目 每 个 阶段 的 授权 的 风险 验收 机 构 以 验收 剩余 风险 ,审查 SRM 发 布 的 

(5) 确认 SRM 活动 要 求 的 人 员 及 其 扮演 的 角色 。 

(6) 估计 SRM 活动 要 求 的 总 体 工 作 量 。 

安全 风险 评价 委员 会 的 活动 包括 : 

(1) 客户 请 求 。 客 户 可 以 请 求 风险 评估 来 帮助 做 出 安全 判决 。 

(2) 新 项 目 安全 风险 基线 的 确定 ,包括 安全 策略 .运行 安全 需求 和 任务 环境 设计 的 基本 
安全 要 求 。 

(3) 在 系统 生命 周期 的 关键 点 上 ,为 做 出 合理 决策 ,可 能 启动 风险 评估 。 

(4) 增加 新 的 客户 需求 蔡 代 方案 。 

安全 风险 信息 和 文档 内 容 包 括 如 下 : 

(1) 所 有 可 能 的 案例 .事件 .攻击 的 信息 以 及 不 能 使 系统 保持 与 期 望 的 安全 需求 相 一 臻 
的 脆弱 性 。 

(2) 特定 系统 出 现 的 风险 和 可 能 性 的 评估 。 

(3) 使 项 目 计 划 缓 解 和 运行 环境 得 到 改善 的 手段 。 

(4) 活动 进程 的 建议 。 
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安全 风险 计划 的 任务 目标 可 以 归纳 为 以 下 5 点 : 

(1) 理解 信息 保障 需求 。 

(2) 体现 风险 状态 。 

(3) 体现 什么 可 以 做 。 

(4) 决定 将 要 做 什么 。 

(5) 执行 决定 。 

3. 安全 风险 分 析 

安全 风险 分 析 方 法 如 图 2.4 所 示 , 图 中 列 出 了 一 个 安全 风险 分 析 模 型 ,该 模型 包括 在 
C&A 材料 中 ,可 供 安全 认证 参与 者 参考 。 


分 析 阶 段 


保护 阶段 


解决 阶段 
保护 措施 。 十 实现 解决 方案 | 


2.4 安全 风险 分 析 方 法 


由 图 2.4 可 以 看 出 ,安全 风险 分 析 步 骤 如 下 : 
(1) 分 析 信息 系统 。 

(2) 确定 资产 并 识别 。 

(3) 识别 保护 需求 和 威胁 代理 。 

(4) 识别 威胁 和 脆弱 性 。 

(5) 确定 威胁 和 脆弱 性 的 可 能 性 和 潜在 的 破坏 。 
(6) 计算 风险 。 

(7) 确定 保护 措施 。 

(8) 实现 解决 方案 。 


2.5 本 章 小 结 


本 章 首 先 简要 介绍 了 与 信息 系统 安全 工程 相关 的 概念 ,然后 详细 介绍 了 信息 系统 安全 
工程 的 生命 周期 各 阶段 及 各 种 典型 活动 。 所 有 这 些 活动 必须 在 ISSE 小 组 的 指导 下 完成 。 
接着 介绍 了 信息 系统 安全 工程 的 过 程 。 概 括 描述 了 安全 规划 、 控 制 和 ISSE 小 组 形成 、 安 全 
需求 ,安全 设计 ,安全 运行 .生命 周期 安全 、 安 全 风险 管理 等 信息 系统 安全 工程 的 基本 功能 。 
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oo 一 中 上 小 性 


.ISSE 的 基本 概念 是 什么 ? 

. 简 述 ISSE 的 生命 周期 。 

. 简 述 ISSE 的 过 程 。 

. ISSE 的 基本 功能 是 什么 ? 

. 简 述 安全 规划 ,控制 和 ISSE 小 组 形成 的 内 容 。 
. 简 述 决策 数据 库 的 内 容 。 

. 简 述 信息 系统 安全 工程 中 培训 应 注意 的 问题 。 
. 简 述 安全 风险 分 析 过 程 。 


第 3 章 信息 系统 安全 规划 


3.1 信息 系统 安全 规划 概述 


随 着 社会 信息 化 程度 的 不 断 深入 与 提高 ,我 国 各 地 区 ,各 行业 使 用 信息 系统 开展 工作 的 
比例 越 来 越 大 ,信息 系统 安全 问题 也 日 趋 严重 ,安全 问题 逐渐 成 为 影响 业务 运行 ,制约 生产 
力 发 展 的 重要 因素 之 一 。 信 息 化 的 发 展 将 面临 着 信息 安全 方面 的 严峻 考验 ,对 信息 系统 安 
全 进行 全 面 的 规划 以 适应 形势 发 展 的 要 求 已 经 是 一 个 不 能 回避 的 问题 ,也 将 成 为 人 们 共同 
关注 的 保证 信息 安全 的 重要 环节 。 

信息 系统 安全 规划 是 信息 系统 在 未 来 几 年 内 如 何 达到 系统 安全 需求 指导 下 的 安全 建设 
目标 的 一 个 过 程 。 信 息 系统 安全 规划 应 该 是 一 个 依托 信息 化 战略 规划 ,涉及 物理 安全 、 网 络 
安全 ,系统 安全 ,运营 安全 以 及 人 员 安 全 的 信息 系统 安全 的 总 体 规划 。 


3.1.1 信息 系统 安全 规划 的 概念 


信息 系统 安全 规划 是 信息 化 规划 的 重要 组 成 部 分 之 一 , 它 所 要 完成 的 主要 任务 是 围绕 
信息 系统 的 发 展 规划 ,从 网 络 安全 \ 应 用 安全 和 管理 安全 3 个 层面 ,根据 调研 结果 提出 信息 
系统 的 信息 安全 需求 ,参照 国内 外 相关 标准 ,制定 信息 系统 的 信息 安全 规范 ,建立 
体系 结构 (包括 信息 系统 安全 体系 结构 和 信息 安全 管理 体系 ), 并 提出 一 套 有 效 的 信息 
保障 措施 和 测评 技术 。 

信息 系统 安全 规划 是 一 个 涉及 管理 、 法 规 和 技术 等 多 方面 的 综合 工程 。 信 息 系 统 安全 
的 总 体 目 标 是 物理 安全 、 网 络 安全 ,数据 安全 、 信 息 内 容 安全 ,信息 基础 设备 安全 与 公共 信息 
安全 的 总 和 。 信 息 系 统 安全 的 最 终 目 的 是 确保 信息 的 机 密 性 、 完 整 性 和 可 用 性 ,以 及 实现 信 
息 系 统 主体 对 信息 资源 的 控制 。 

信息 系统 安全 规划 是 以 信息 化 战略 规划 为 指导 ,以 信息 资源 规划 为 基础 ,全 面 完 整地 规 
划 信 息 系统 应 用 和 相关 信息 架构 ,确定 信息 系统 的 安全 框架 管理 模式 与 建设 步骤 。 只 有 在 
信息 系统 安全 规划 的 指导 下 建设 的 网 络 与 信息 环境 , 才 可 以 在 安全 机 制 的 控制 与 制约 下 ,让 
各 种 业务 解决 方案 、 应 用 系统 和 数据 都 不 受 负面 因素 带 来 的 威胁 并 在 其 上 实现 有 效 配 合 。 
信息 系统 安全 规划 不 应 该 只 是 规划 未 来 几 个 月 ,而 应 该 规划 未 来 几 年 内 如 何 达 到 信息 化 远 
景 规划 指导 下 的 安全 建设 目标 。 信 息 系统 安全 规划 比 单独 购买 信息 安全 产品 更 重要 ,只 有 
通过 有 计划 、 有 方向 .有 目的 .有 配合 地 进行 信息 系统 安全 的 整体 布 园 ,才能 构成 真正 意义 上 
的 信息 安全 。 

信息 系统 安全 规划 主要 是 根据 风险 评估 的 结果 和 提取 的 安全 需求 描述 实施 相应 的 安全 
保障 的 目标 ,措施 和 步 又。 按照“ 全 网 安全 ”的 思想 ,信息 系统 安全 规划 需要 从 管理 ,组 织 和 
技术 等 多 方面 进行 综合 考虑 ,涉及 的 是 综合 管理 ,技术 规范 和 运行 维护 等 多 个 层面 的 控制 
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措施 。 
信息 系统 安全 规划 的 范围 应 该 是 多 方面 的 ,涉及 技术 安全 、 规 范 管理 和 组 织 结构 。 技 术 
安全 是 人 们 谈论 比较 多 的 话题 ,也 是 在 安全 规划 中 描述 较 多 的 地 方 , 用 得 最 多 的 一 些 安全 产 
品 ,如 防火 墙 \ 入 侵 检 测 、 漏 洞 扫描 、 防 病毒 、VPN 访问 控制 和 备份 恢复 等 。 但 是 信息 系统 
安全 是 一 个 动态 发 展 的 过 程 ,过 去 依靠 技术 就 可 以 解决 大 部 分 安全 问题 ,现在 仅仅 依赖 安全 
产品 的 堆积 来 应 对 迅速 发 展 变化 的 各 种 攻击 手段 是 不 能 持续 有 效 的 。 信 息 系 统 安 全 建设 是 
一 项 复杂 的 系统 工程 ,要 从 观念 上 进行 转变 ,要 在 安全 产品 的 支持 下 建设 全 方位 的 安全 策 
略 , 使 之 成 为 一 个 可 持续 的 动态 发 展 的 有 安全 保障 的 渐进 过 程 。 因 此 ,在 目前 安全 设备 达 
到 一 定 规 模 的 情况 下 ,规范 管理 就 成 为 信息 系统 安全 规划 需要 关注 的 核心 内 容 , 在 信息 系统 
安全 规划 中 一 定 要 将 规范 管理 放 在 首位 。 规 范 管理 包括 风险 管理 .安全 策略 ,规章 制度 和 安 
全 教育 ,这 几 个 组 件 是 信息 系统 安全 规划 的 重要 内 容 。 信 息 系 统 安全 规划 需要 有 规划 的 依 
据 , 这 个 依据 就 是 信息 化 战略 规划 ,同时 更 需要 组 织 与 人 员 结构 的 合理 布局 来 保证 。 没 有 合 
适 的 人 员 配 合 工作 ,任何 事情 都 是 不 可 能 完成 的 ,因此 ,在 安全 规划 中 不 可 以 忽视 组 织 结构 
建立 和 人 员 合理 调配 这 个 关键 环节 。 

通常 情况 下 安全 规划 设计 包括 安全 需求 分 析 、 安 全 总 体 设计 ,安全 建设 规划 3 个 主要 
环节 。 

(1) 安全 需求 分 析 。 

首先 根据 系统 的 安全 级 别 选 择 和 确定 系统 基本 安全 要 求 指标 ,然后 根据 安全 要 求 指标 
评估 系统 安全 现状 , 找 出 系统 安全 现状 与 安全 指标 之 间 的 差距 ,并 进行 额外 的 风险 评估 , 找 
出 系统 的 一 些 特定 需求 ,两 者 结合 后 形成 系统 需求 分 析 报告 ,建立 系统 安全 需求 。 

(2) 安全 总 体 设 计 。 

首先 根据 系统 风险 评估 结果 和 系统 安全 需求 制定 系统 总 体 的 安全 策略 ,然后 根据 总 体 
安全 策略 和 等 级 保护 的 相关 要 求 , 设 计 系 统 的 安全 技术 框架 和 安全 管理 框架 ,形成 既 符 合 系 
统 安全 等 级 保护 要 求 , 又 满足 系统 特定 安全 保护 需求 的 安全 总 体 设 计 方 案 。 

(3) 安全 建设 规划 。 

首先 根据 系统 的 总 体 设计 方案 选择 安全 建设 的 策略 ,然后 根据 安全 建设 策略 ,规划 中 长 
期 的 安全 建设 内 容 . 制 定安 全 建设 的 实施 计划 ,形成 指导 今后 一 段 时 间 安 全 建设 工作 的 安全 
建设 规划 方案 。 


3.1.2 信息 系统 安全 规划 的 目标 


信息 系统 的 安全 规划 应 该 以 国家 和 地 方 政 府 的 法 律 法 规 为 前 提 , 遵 循 国内 外 的 相关 标 
准 和 规范 ,围绕 信息 系统 的 发 展 规划 来 制定 信息 系统 安全 规划 ,使 得 信息 系统 建设 和 运营 满 
足 国家 安全 体系 的 要 求 。 

信息 系统 安全 规划 的 目标 与 信息 系统 的 安全 目标 是 一 致 的 ,集中 体现 为 信息 保护 和 系 
统 保护 两 大 目标 。 信 息 保 护 目标 主要 保护 所 属 组 织 的 敏感 信息 和 系统 运行 中 有 关 信 息 的 机 
密 性 ,完整 性 ,可 用 性 和 可 控 性 。 系 统 保护 的 目标 主要 是 保护 所 属 组 织 的 运行 和 实现 职能 
的 技术 系统 的 可 靠 性 .完整 性 和 可 用 性 。 无 论 是 信息 保护 还 是 系统 保护 ,信息 系统 安全 
规划 的 目标 集中 起 来 其 实 就 是 CIA(Confidentiality, Integrity, Availability) 。 对 于 致力 于 信 
息 安 全 研究 的 人 来 说 ,CIA 代表 了 信息 系统 要 达到 的 目标 ,是 信息 系统 安全 规划 的 统一 
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目标 。 

C 代表 保密 性 (Confidentiality), 目的 是 阻止 敏感 信息 的 泄露 和 未 授权 用 户 的 非法 访 
问 。I 代 表 完 整 性 (Integrity) ,防止 未 授权 用 户 对 系统 信息 进行 的 有 意 或 无 意 的 修改 。A 代 
表 可 用 性 (Availability) ,保证 授权 用 户 在 需要 时 可 以 成 功 访问 系统 及 其 数据 信息 。 


3.1.3 信息 系统 安全 规划 的 原则 


信息 系统 所 面临 的 威胁 大 体 可 分 为 两 类 : 一 是 对 系统 中 信息 的 威胁 ; 二 是 对 系统 中 设 
备 (包括 软件 和 硬件 ) 的 威胁 。 影 响 信 息 系统 安全 的 因素 很 多 ,有 些 因素 可 能 是 有 意 的 ,也 可 
能 是 无 意 的 ; 可 能 是 人 为 的 (如 黑客 ) ,也 可 能 是 非 人 为 的 (如 设备 .线路 故障 ) 。 但 是 从 安全 
防范 角度 来 分 析 ,信息 系统 安全 规划 所 涉及 的 对 象 可 以 分 为 两 种 类 型 : 重要 应 用 系统 和 公 
共 支 持 系统 。 在 实践 中 根据 这 两 种 类 型 的 特点 来 分 别 制定 信息 系统 安全 规划 是 一 种 行 之 有 
效 的 办 法 。 在 一 个 大 的 信息 系统 内 部 通常 包含 多 个 应 用 和 多 种 计算 机 与 网 络 设备 ,如 果 属 
于 重要 应 用 系统 或 公共 支持 系统 的 应 用 或 设备 ,那么 就 必须 对 其 制定 专门 的 安全 规划 。 对 
于 已 经 运行 的 系统 , 则 应 根据 已 制定 的 安全 规划 定期 进行 安全 评估 。 对 于 其 他 应 用 无 须 制 
定 专门 的 安全 规划 ,这 些 应 用 的 安全 问题 可 由 其 运行 环境 中 的 公共 支持 系统 的 安全 控制 来 
保证 。 一 般 而 言 ,标准 的 商用 软件 ,如 字 处 理 软件 .浏览 器 .电子 邮件 软件 .工具 软件 等 均 不 
作为 重要 应 用 系统 。 

制定 信息 系统 安全 规划 一 方面 要 满足 系统 安全 要 求 ,并 描述 为 满足 系统 安全 要 求 所 采 
取 或 应 采取 的 安全 控制 方法 ; 另 一 方面 要 明确 所 有 对 系统 进行 访问 的 人 员 的 责任 和 行为 
规范 。 

安全 规划 设计 过 程 中 应 在 信息 系统 可 承受 的 安全 风险 范围 内 , 尽 可 能 地 考虑 成 本 与 效 
率 , 同 时 还 要 密切 结合 系统 的 安全 要 求 及 面临 的 威胁 ,制定 科学 .合理 .可行 的 安全 设计 规划 
原则 。 总 结 各 方面 因素 ,进行 安全 方案 设计 、` 规 划 时 应 遵循 以 下 几 个 原则 

1. 系统 化 

按照 系统 化 的 设计 思想 ,在 整合 及 综合 考虑 信息 应 用 系统 各 个 分 系统 安全 需求 的 基础 
上 ,统一 进行 信息 系统 的 安全 设计 规划 ,确保 整个 信息 系统 安全 运行 以 及 信息 得 到 有 效 的 安 
全 保护 。 在 网 络 基础 设施 方面 , 按 分 级 分 区 的 思想 ,统一 规划 、 设 计 安全 的 系统 网 络 环境 , 确 
保 在 网 上 传输 的 信息 得 到 应 有 的 保护 ,为 各 种 网 络 应 用 的 安全 提供 必要 的 支持 。 

2. 层次 化 

安全 系统 的 规划 设计 ,从 应 用 系统 层 安 全 、 网 络 层 安全 ,到 软 硬 件 系 统 层 安全 , 按 层 层 防 
御 的 思想 进行 设计 。 每 一 层 应 实现 所 需要 的 安全 功能 ,共同 实现 系统 的 整体 安全 。 

3. 等 级 化 

按照 区 域 化 保护 的 思想 ,根据 信息 系统 不 同 域 中 的 信息 在 存储 、 传 输 和 处 理 过 程 中 需要 
保护 的 程度 ,确定 各 个 域 所 需要 进行 保护 的 安全 等 级 ,并 明确 划分 每 一 个 保护 域 的 边界 , 按 
要 求 进行 边界 保护 ,防止 来 自 外 部 的 攻击 和 非 授权 访问 ,防止 内 部 信息 随意 流出 保护 域 , 确 
保 各 个 域 中 的 信息 得 到 应 有 的 安全 保护 ,确保 各 个 域 中 的 系统 安全 运行 。 
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3.1.4 信息 系统 安全 规划 的 作用 


信息 系统 全 面 合理 的 安全 规划 是 信息 系统 安全 建设 的 基础 和 重要 前 提 , 对 信息 系统 的 
整体 架构 及 其 安全 体系 具有 良好 的 支持 作用 ,同时 也 会 显著 提高 系统 所 在 组 织 的 信息 安全 
水 平和 管理 能 力 。 具 体 来 说 ,信息 系统 安全 规划 有 如 下 作用 。 

1. 系统 运行 集成 化 

。 降低 和 控制 安全 风险 ,提高 信息 系统 的 运行 效率 。 

。 控制 安全 方面 的 投入 成 本 ,缩短 信息 系统 安全 体系 建设 周期 。 

。 提高 系统 相关 人 员 的 整体 安全 意识 。 

2. 安全 管理 流程 合理 化 

。 系统 整体 安全 性 得 到 大 幅度 提升 。 

。 系统 面 对 安 全 事件 的 响应 速度 大 大 加 快 。 

。 系统 用 户 满意 度 得 到 显著 改善 。 

3. 系统 安全 监控 动态 化 

信息 系统 可 以 根据 安全 管理 需要 ,动态 监控 信息 安全 变化 ,以 期 实时 地 反馈 和 纠正 安全 
管理 中 存在 的 问题 。 

4. 系统 安全 管理 改善 持续 化 

随 着 安全 产品 的 应 用 和 信息 系统 安全 管理 流程 的 合理 化 ,系统 信息 安全 管理 水 平 将 会 
明显 提高 。 


3.1.5 信息 系统 安全 规划 的 步骤 


根据 信息 系统 安全 建设 的 体系 化 .层次 化 和 等 级 化 要 求 ,结合 系统 本 身 的 状况 ,设计 整 
体 的 信息 安全 保障 体系 是 安全 规划 的 重要 目标 。 

通过 体系 化 ,提出 信息 系统 的 安全 建设 目标 和 安全 规划 思路 ,建立 总 体 安全 体系 和 安全 
机 制 , 从 而 保障 信息 系统 的 稳定 有效 地 运行 ,并 帮助 信息 系统 各 级 管理 和 操作 人 员 明 确 具 
体 安全 要 求 ,明确 具体 建设 流程 和 维护 步骤 。 

通过 层次 化 和 等 级 化 ,确定 信息 系统 的 安全 等 级 和 改造 、 建 设 的 项 目 内 容 , 确 定 系 统 安 
全 保障 设施 的 总 体 规模 、 安 全 保障 策略 和 重点 防护 措施 ,并 帮助 领导 决策 安全 投资 规模 , 合 
理 分 配 安全 投资 ,准确 把 握 投资 重点 。 帮 助 信息 系统 的 各 级 管理 和 操作 人 员 确 定 重 点 工作 
和 防范 措施 。 

通过 风险 评估 ,从 整体 上 掌握 信息 系统 的 安全 建设 情况 ,不 仅 是 单纯 的 技术 体系 建 
设 , 同 时 要 包括 系统 的 信息 安全 管理 .基础 架构 的 运营 与 服务 管理 .业务 分 析 和 项 目 规划 
等 。 规 划 流 程 将 从 管理 ,技术 和 业务 分 析 3 个 层面 来 描述 其 安全 建设 的 方法 和 流程 , 具 
体 如 下 : 

安全 体系 规划 路 线 分 为 规划 准备 ,安全 评估 ,规划 设计 、 实 施 阶段 .运行 维护 和 优化 完善 
6 个 环节 ,各 个 环节 从 管理 .技术 和 业务 等 各 个 层面 又 存在 不 同 的 工作 内 容 和 安全 要 求 。 

1. 准备 阶段 

准备 阶段 的 主要 工作 内 容 如 表 3. 1 所 示 。 
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表 3.1 规划 思路 一 一 准备 阶段 工作 内 容 表 


实现 层次 


工作 内 容 


管理 


项 目 管理 
项 目 计 划 


技术 (基础 架构 的 运营 与 服务 管理 ) 


运营 技术 战略 


业务 (业务 分 析 、 管 理 规范 和 项 目 规划 ) 


2. 评估 阶段 
评估 阶段 的 主要 工作 内 容 如 表 3. 2 所 示 。 


实现 层次 


业务 需求 分 析 

IT 战略 分 析 
高 级 系统 设计 

业务 案例 的 分 析 和 政策 
法 规 性 符合 分 析 


表 3.2 规划 思路 一 一 评估 阶段 工作 内 容 表 


工作 内 容 


管理 


安全 架构 分 析 
安全 风险 评估 
安全 技术 现状 评估 


技术 (基础 架构 的 运营 与 服务 管理 ) 


运营 现状 分 析 
运营 详细 需求 计划 
网 络 可 靠 性 评估 
运营 部 署 项 目 管理 


业务 (业务 分 析 ,管理 规范 和 项 目 规划 ) 


3. 规划 设计 阶段 
规划 设计 阶段 的 主要 工作 内 容 如 表 3. 3 所 示 。 


实现 层次 


业务 系统 等 级 划分 
详细 需求 计划 
系统 准备 度 分 析 
试点 准备 度 分 析 


部 署 项 目 管理 工作 


表 3.3 规划 思路 一 一 规划 设计 阶段 工作 内 容 表 


工作 内 容 


管理 


管理 总 体 规 划 
安全 策略 与 架构 设计 
安全 实施 设计 


技术 (基础 架构 的 运营 与 服务 管理 ) 


技术 总 体 规划 
运营 管理 方案 设计 
运营 管理 实施 方案 
业务 测试 计划 


业务 (业务 分 析 、 管 理 规范 和 项 目 规划 ) 


业务 系统 等 级 划分 
详细 需求 计划 
系统 准备 度 分 析 
试点 准备 度 分 析 
部 署 项 目 管理 工作 


48 信息 系统 安 


4. 实施 阶段 
实施 阶段 的 主要 工作 内 容 如 表 3.4 所 示 。 


表 3.4 规划 思路 一 一 实施 阶段 工作 内 容 表 


实现 层次 


工作 内 容 


管理 


安全 架构 实施 
安全 制度 与 流程 实施 


技术 (基础 架构 的 运营 与 服务 管理 ) 


运营 方案 实施 
业务 准备 度 测试 
运营 培训 


业务 (业务 分 析 、 管 理 规范 和 项 目 规划 ) 


5. 运行 维护 阶段 
运行 维护 阶段 的 主要 工作 内 容 如 表 3. 5 所 示 。 


试点 实施 

全 局 实施 

迁移 

试点 准备 度 分 析 
系统 接受 性 测试 
培训 


表 3.5 规划 思路 一 一 运行 维护 阶段 工作 内 容 表 


实现 层次 


工作 内 容 


管理 


安全 审计 
安全 监控 


技术 (基础 架构 的 运营 与 服务 管理 ) 


技术 支持 
硬件 支持 
软件 支持 


业务 (业务 分 析 、 管 理 规范 和 项 目 规划 ) 


6. 优化 完善 阶段 
优化 完善 阶段 的 主要 工作 内 容 如 表 3. 6 所 示 。 


资产 管理 
配置 管理 
系统 监控 与 管理 
变更 管理 


表 3.6 规划 思路 一 一 优化 完善 阶段 工作 内 容 表 


实现 层次 


工作 内 容 


管理 


安全 巡 检 与 审计 
安全 优化 


技术 (基础 架构 的 运营 与 服务 管理 ) 


运营 情况 评估 
运营 优化 


业务 (业务 分 析 、 管 理 规范 和 项 目 规划 ) 


业务 案例 评估 
技术 应 用 评估 
技术 优化 
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3: 2 信息 系 名 安全 规划 内 容 


随 着 信息 化 建设 的 高 速 发 展 以 及 信息 系统 本 身 对 信息 安全 的 高 标准 要 求 , 使 得 统一 安 
全 规划 和 全 面 安全 保障 体系 的 建设 成 为 必然 。 大 型 信息 系统 在 建设 安全 系统 时 ,不 能 像 传 
统 的 安全 系统 那样 ,只 有 在 出 现 漏洞 时 才 进 行 安全 补救 ,而 应 该 系统 地 、 有 条 理 地 进行 全 面 
综合 的 安全 规划 ,充分 地 、 全 方位 地 考虑 各 种 安全 需求 和 特性 ,从 而 达到 信息 系统 从 软件 到 
硬件 ,从 计算 模式 到 信息 资源 ,从 网 络 系统 到 安全 管理 , 样 样 俱全 .从 里 到 外 地 充分 得 到 
保障 。 

信息 系统 安全 规划 的 内 容 是 根据 安全 规划 的 目标 和 原则 要 求 以 及 各 种 安全 需求 和 特性 
确定 ,主要 包括 对 计算 模式 的 安全 规划 、 信 息 资源 的 安全 规划 、 网 络 与 系统 的 安全 规划 以 及 
组 织 与 管理 的 安全 规划 4 个 重要 部 分 。 


3.2.1 计算 模式 安全 规划 


计算 模式 是 指 组 成 计算 机 系统 的 各 种 硬件 .网 络 . 系 统 软件 .应 用 软件 等 要 素 的 逻辑 和 
物理 配置 ,是 处 于 同一 个 网 络 中 多 台 计 算 机 共同 工作 的 方式 。 

信息 系统 的 计算 模式 大 体 分 为 5 种 : 主机 终端 模式 ,文件 服务 器 模式 、 客 户 机 服务 器 模 
式 (Client/Server,C/S) ,浏览 器 服务 器 模式 (Browser/Server,B/S) 和 云 计算 模式 。 现 代 信 
息 系统 的 运行 计算 模式 多 为 C/S 模式 和 B/S 模式 。 

1. 主机 终端 模式 

主机 终端 模式 是 以 大 型 机 为 中 心 (Mainframe-centric) 的 计算 模式 。 在 主机 终端 模式 
中 ,大 型 机 的 访问 受到 严格 的 控制 ,CPU 资源 和 数据 存储 同时 由 多 个 用 户 共享 ,数据 通过 简 
单 的 终端 进行 交换 。 在 这 种 模式 下 ,资源 受到 集中 控制 ,用 户 界面 不 够 友好 ,而 且 硬 件 投 资 
巨大 ,如 今 已 很 少 使 用 。 

2. 文件 服务 器 模式 

文件 服务 器 模式 由 客户 机 和 文件 服务 器 两 部 分 组 成 ,因此 也 被 称 为 基于 客户 机 的 运行 
模式 。 在 文件 服务 器 模式 下 ,文件 服务 器 负责 完成 简单 的 工作 ,如 保存 共享 数据 以 及 应 答 客 
户 机 等 ,而 客户 机 负责 所 有 的 数据 处 理 。 文 件 服务 器 模式 实现 了 资源 共享 ,并 且 具 有 简单 易 
维护 、 实 现成 本 低 的 优点 。 但 在 该 模式 下 的 文件 数据 传输 不 能 够 智能 响应 文件 数据 请 求 , 造 
成 网 络 中 传输 数据 的 大 量 元 余 , 还 存在 数据 共享 的 加 锁 问题 。 因 此 ,文件 服务 器 模式 仅仅 适 
用 于 规模 较 小 的 局 域 网 络 ,无 法 满足 互联 网 中 用 户 量 多 数据 量 大 的 需求 。 

3. 客户 机 服务 器 模式 

客户 机 服务 器 模式 由 客户 应 用 程序 和 服务 器 管理 程序 组 成 。 客 户 应 用 程序 负责 系统 中 
用 户 与 数据 的 交互 ,也 称 为 前 台 服 务 系统 。 服 务 器 管理 程序 的 主要 工作 是 高 效 地 管理 系统 
资源 , 当 多 个 用 户 并 发 地 请 求 服务 器 上 的 资源 时 ,服务 器 管理 程序 负责 对 这 些 资 源 进 行 优化 
管理 。C/S 模式 具有 以 下 几 种 优势 : 

(1) 交互 性 强 。 在 C/S 模式 中 ,客户 端 应 用 程序 非常 完整 ,具有 强大 的 在 线 帮 助 .出 错 
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提示 等 功能 ,并 且 可 以 在 子 程序 之 间 自 由 切换 ,具有 很 强 的 交互 性 。 

(2) 存 取 模 式 安全 。C/S 模式 采用 适用 于 局 域 网 .安全 性 较 好 的 网 络 协议 ,是 配对 的 点 
对 点 的 结构 模式 ,能够 提供 更 安全 的 存 取 模 式 。 

(3) 网 络 通信 量 低 , 处 理 速 度 快 。C/S 模式 的 网 络 采用 两 层 结构 ,只 包括 客户 端 与 服务 
器 之 间 的 通信 量 ,这样 能 够 降低 网 络 通信 量 ,提高 处 理 大 量 信息 的 速度 和 能 力 。 

由 于 C/S 模式 的 上 述 优点 ,在 20 世纪 末 C/S 模式 便 代替 了 主机 终端 模式 和 文件 服务 
器 模式 。 但 随 着 Internet 的 不 断 普及 和 发 展 ,C/S 模式 的 局 限 性 逐渐 显露 了 出 来 。C/S 模 式 
的 客户 端 过 于 庞大 ,导致 应 用 程序 的 维护 和 升级 工作 量 较 大 且 成 本 很 高 。 另 外 ,C/S 模式 的 事 
务 层 不 能 与 跨 平 台 的 客户 端 共 享 , 且 没 有 统一 的 数据 逻辑 层 来 提供 不 同 种 类 的 数据 存储 。 

4. 浏览 器 服务 器 模式 

浏览 器 服务 器 模式 以 Web 技术 为 基础 ,由 一 个 数据 服务 器 和 多 个 应 用 服务 器 构成 一 个 
三 层 结构 的 客户 服务 器 体系 。 第 一 层 是 用 户 与 整个 体系 的 接口 ,由 一 个 通用 的 浏览 器 软件 
(如 微软 公司 的 正 浏览 器 ) 组 成 ,浏览 器 为 用 户 提供 信息 交互 的 平台 ,用 户 向 浏览 器 网 页 提 
出 处 理 信 息 的 请 求 。 第 二 层 是 Web 服务 器 ,负责 响应 用 户 请 求 , 并 将 处 理 结果 返回 给 客户 
机 的 浏览 器 。 第 三 层 是 数据 库 服务 器 ,负责 管理 数据 库 , 并 协调 不 同 的 Web 服务 器 发 出 的 
请 求 。B/S 模式 具有 以 下 优势 ; 

(1) 客户 端 简单 灵活 。 在 B/S 模式 下 ,无 须 在 客户 机 上 安装 客户 应 用 程序 ,而 只 需 安装 
通用 的 浏览 器 软件 。 不 但 节省 了 客户 机 的 硬盘 空间 与 内 存 , 而 且 使 安装 过 程 及 网 络 结构 更 
加 灵活 。 

(2) 易于 开发 和 维护 。 系 统 开发 者 无 须 再 为 不 同 级 别 的 用 户 设 计 开发 不 同 的 应 用 程 
序 ,只 需 根据 不 同 的 功能 为 各 个 级 别 的 用 户 设置 操作 权限 ,再 将 所 有 的 功能 都 实现 在 Web 
服务 器 上 ,从 而 简化 了 系统 的 开发 和 维护 。 

(3) 用 户 操作 简单 。 采 用 B/S 模式 时 ,客户 端 只 是 一 个 简单 易 用 的 浏览 器 软件 ,无 论 是 
决策 层 还 是 操作 层 的 人 员 都 无 须 培训 ,就 可 以 直接 使 用 。 

(4) 适用 于 网 上 信息 发 布 , 使 得 传统 信息 系统 的 功能 有 所 扩展 。 

鉴于 B/S 模式 相对 于 C/S 模式 的 先进 性 ,B/S 模式 逐渐 成 为 一 种 流行 的 信息 系统 模 
式 。 当 然 ,B/S 模式 并 非 没有 缺点 ,一 般 来 说 ,C/S 模式 的 优点 就 是 B/S 模式 的 缺点 ,反之 亦 
然 。 由 于 B/S 模式 的 先进 性 和 C/S 模式 的 成 熟 性 ,很 多 应 用 信息 系统 实际 上 是 将 这 两 种 模 
式 结合 在 一 起 使 用 。 

随 着 Internet 和 Web 技术 的 发 展 , 越 来 越 多 的 企业 开发 基于 B/S、C/S 模式 的 信息 管 
理 系统 ,提高 了 信息 管理 的 效率 ,减轻 了 手工 操作 的 负担 。B/S 模式 相对 于 C/S 模式 具有 
良好 的 跨 平 台 性 、 易 于 维护 和 扩展 等 优点 ,但 是 随 着 信息 量 的 膨胀 , 迎 来 严重 的 信息 安全 问 
题 : 非法 或 恶意 的 用 户 访问 .数据 的 不 一 致 .在 公共 网 络 上 传输 的 数据 被 监控 和 修改 等 。 因 
此 在 系统 开发 中 建立 一 定 的 安全 机 制 ,增强 系统 的 信息 安全 性 ,成 为 信息 系统 开发 的 一 项 重 
要 内 容 , 同 时 也 是 信息 系统 得 以 应 用 和 延伸 的 基础 。 

B/S 结构 的 信息 系统 一 般 由 浏览 器 、Web 服务 器 和 数据 库 服 务 器 组 成 ,其 安全 规划 涉 
及 所 用 的 操作 系统 、Web 服务 器 数据库 系统 和 网 络 数据 传输 等 。 

(1) 操作 系统 安全 规划 。 

操作 系统 的 安全 是 信息 系统 安全 最 基础 的 保证 ,一 旦 服务 器 的 操作 系统 安全 失效 ,其 他 
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所 有 的 安全 将 无 法 得 到 保证 。 只 有 正确 地 安装 和 设置 操作 系统 ,才能 使 其 在 安全 方面 发 挥 
应 有 的 作用 。 具 体 的 安全 策略 如 下 : 
。 正确 地 进行 磁盘 分 区 。 
。 使 用 NTFS 文件 系统 。 
。 取消 不 必要 的 网 络 服务 。 
。 及 时 进行 系统 升级 并 安装 补丁 程序 。 
。 定期 修改 系统 管理 员 口 令 。 
(2) Web 服务 器 安全 规划 。 
为 了 保证 客户 能 够 访问 Internet, Web 服务 器 必须 与 Internet 连接 ,因此 Web 服务 器 
的 安全 性 要 求 很 高 。Microsoft Information Server(IIS) 是 一 种 WWW 服务 器 ,IIS 的 设置 
可 以 确定 用 户 访问 服务 器 的 方式 以 及 用 户 所 拥有 的 权限 。Web 服务 器 的 安全 规划 策略 
如 下 : 
。 对 Web 应 用 程序 设置 正确 的 访问 权限 。 
。 通过 设置 IIS 用 户 的 验证 方式 以 及 IP 地 址 和 网 络 域名 来 控制 访问 用 户 。 
。 恰当 地 配置 Web 服务 器 ,取消 或 删除 不 必要 的 服务 。 
(3) 数据 库 安 全 规划 。 
数据 库 安全 是 保障 数据 的 机 密 性 、 完 整 性 和 可 用 性 ,防止 数据 信息 被 非法 窃取 和 自 改 的 
有 效 措 施 。 数 据 库 系统 的 安全 规划 策略 如 下 : 
。 访问 控制 。 通 过 用 户 名 与 密码 体系 对 用 户 进行 身份 认证 ,保证 只 有 具有 访问 权限 的 
用 户 才能 访问 数据 及 网 络 资源 ,防止 非 授 权 用 户 的 访问 。 
。 权限 控制 。 根 据 最 小 特权 和 最 大 共享 原则 ,用 户 只 能 在 其 权限 范围 内 对 数据 进行 操 
作 ,并 为 不 同 的 数据 库 用 户 定 义 不 同 的 操作 权限 。 
。 数据 库 加 密 。 用 户 采 用 自己 的 密 钥 对 隐私 信息 进行 加 密 ,数据 库 管理 员 只 能 获得 密 
文 ,而 无 法 对 其 进行 解密 ,从 而 保证 了 用 户 信 息 的 机 密 性 。 
。 数据 库 备 份 。 定 期 进行 关键 数据 备份 ,保证 数据 库 的 可 恢复 性 。 
(4) 数据 传输 安全 规划 。 
目前 数据 传输 对 Internet 的 依赖 越 来 越 大 ,而 Internet 环境 并 不 能 够 完全 保证 数据 的 
安全 通信 ,在 传输 过 程 中 可 能 会 发 生 数 据 窃取 或 自 改 的 状况 ,因此 ,需要 制定 相应 的 安全 规 
划 策 略 ,来 保证 数据 信息 的 安全 传输 。 数 据 传输 的 安全 规划 策略 如 下 : 
。 使 用 VPN 技术 ,为 系统 节点 间 的 数据 传输 提供 点 到 点 的 安全 通道 ,提高 数据 传输 的 
安全 性 和 稳定 性 。 
。 采用 数据 加 密 技 术 , 对 传输 中 的 数据 进行 加 密 ,并 通过 安全 信道 传输 密 钥 信 息 ,从 而 
有 效 地 保证 数据 传输 的 安全 。 
5. 云 计 算 模式 
随 着 云 概念 的 提出 ,一 种 新 的 计算 模式 随 之 产生 一 一 云 计 算 模式 。 云 计算 是 由 分 布 式 
计算 、 并 行 计算 以 及 网 格 计算 发 展 而 来 的 新 型 计算 模式 。 云 计算 体现 了 “网 络 就 是 计算 机 ” 
的 思想 ,将 大 量 计算 资源 、 存 储 资 源 与 软件 资源 链接 在 一 起 ,形成 巨大 规模 的 共享 虚拟 IT 
资源 池 ( 称 为 “ 云 ”) ,计算 机 可 以 通过 “ 云 ”自动 地 管理 和 动态 的 分 配 与 部 署 资源 ,从 而 为 用 户 
提供 超大 规模 、 虚 拟 化 、 安 全 可 靠 的 服务 。 架 构 模 式 上 的 超前 创新 ,使 云 计 算 模式 在 信息 处 
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理 和 信息 存储 上 具有 非常 显著 的 优势 。 

(1) 超 强 的 运算 能 力 。 

云 计算 数据 中 心 的 规模 决定 了 云 计算 信息 处 理 能 力 。 目 前 ,谷歌 云 计算 已 经 拥有 100 
多 万 台数 据 处 理 服务 器 ,而 Amazon、IBM ,微软 等 在 云 计 算 方 面 也 都 拥有 几 十 万 台 服 务 器 。 
而 对 于 一 般 的 企业 而 言 , 私 有 “ 云 ” 的 数量 也 都 在 成 百 上 千 台 以 上 。 强 大 的 后 台 服 务 器 能 够 
赋予 用 户 前 所 未 有 的 计算 能 力 。 

(2) 可 靠 的 信息 服务 。 

云 计算 模式 拥有 用 户 规 模 庞 大 的 “ 云 " 资 源 ,对 于 每 一 个 “ 云 ”而 言 ,可 以 通过 使 用 计算 机 
节点 同 构 可 互 换 以 及 多 副本 容错 技术 等 来 保障 信息 服务 的 可 靠 性 。 

(3) 虚拟 化 的 信息 存储 。 

在 云 计算 模式 下 ,用 户 可 以 在 任意 位 置 通过 互联 网 获取 信息 数据 中 心 的 应 用 服务 。 用 
户 所 请 求 的 资源 和 数据 均 来 自 虚拟 化 的 “ 云 ?数据 中 心 。 用 户 可 以 方便 快捷 地 通过 网 络 服务 
来 实现 所 需要 的 一 切 , 而 不 需要 考虑 内 在 的 逻辑 和 计算 过 程 。 

(4) 较 高 的 通用 性 和 可 扩展 性 。 

云 计算 不 针对 特定 的 应 用 ,在 “ 云 ”的 支撑 下 ,可 以 构造 出 千变万化 的 应 用 ,与 此 同时 , 云 
的 规模 也 可 以 动态 伸缩 ,满足 应 用 和 用 户 规模 增长 的 需求 。 

(5) 按 需 服 务 的 信息 处 理 模式 。 

“ 云 ”是 信息 数据 的 支撑 平台 ,“ 云 "中 存储 着 用 户 需 要 的 所 有 数据 和 信息 。 因 此 ,在 云 计 
算 模式 下 ,用户 只 要 通过 Internet 连接 云 数据 中 心 就 可 以 按照 需要 进行 信息 的 索取 和 计算 。 

云 计算 的 自动 化 集中 式 管理 使 企业 无 须 负担 高 昂 的 数据 中 心 管理 成 本 , 云 计 算 的 通用 
性 使 资源 的 利用 率 大 幅 提 升 ,用 户 可 以 充分 享受 云 计 算 低 成 本 的 优势 。 但 是 , 云 计算 模式 下 
潜在 的 风险 与 威胁 也 不 容 忽视 。 云 计算 和 其 他 的 计算 模式 一 样 ,存在 一 些 共性 安全 问题 和 
个 性 安全 风险 。 

云 计算 的 共性 安全 实质 上 是 信息 共享 的 安全 , 即 信 息 存 储 和 保密 的 程度 。 对 于 共性 的 
安全 问题 ,可 以 划分 为 4 个 层次 。 

(1) 设备 安全 。 主 要 包括 信息 系统 设备 的 稳定 性 、 可 靠 性 、 可 用 性 。 

(2) 数据 安全 。 针 对 “ 云 " 数 据 中 心 的 数据 ,要 保证 其 保密 性 、 完 整 性 、 可 用 性 。 

(3) 内 容 安全 。 信 息 的 真正 价值 体现 在 它 的 语意 上 ,如 果菜 条 信息 对 用 户 而 言 其 内 容 
是 无 意义 或 没 用 的 ,那么 所 说 的 安全 也 没有 价值 。 

(4) 使 用 安全 。 数 据 信息 的 使 用 安全 主要 包括 信息 使 用 行为 的 机 密 性 、 完 整 性 和 可 
控 性 。 

云 计算 为 数据 处 理 和 未 来 计算 机 发 展 提供 了 一 种 非常 新 颖 的 发 展 模式 。 在 该 模式 下 ， 
除了 共性 安全 性 以 外 ,对 于 用 户 而 言 还 存在 很 多 个 性 安全 风险 。 首 先 ,个 性 安全 主要 体现 在 
云 计 算 的 服务 特点 上 。 云 计算 是 以 服务 为 中 心 的 。 这 也 就 意味 着 云 计算 是 面向 大 众 `. 以 人 
为 本 的 ,对 专业 领域 数据 加 密 能 力 不 强 。 其 次 是 可 信 性 问题 。 如 果 云 计算 没有 获得 广大 用 
户 的 信任 ,那么 用 户 是 不 敢 把 数据 存放 到 云 环境 中 的 。 因 此 , 云 计 算 要 做 到 既 可 靠 又 安全 ， 
广泛 获取 用 户 的 信任 ,用 户 才 会 把 数据 存放 于 云 数 据 中 心 。 第 三 ,系统 的 可 靠 性 。 防 止 数据 
丢失 及 失效 ,保障 设备 的 稳定 可 靠 运行 都 属于 保障 系统 可 靠 性 的 范畴 。 因 此 , 云 计 算 系 统 应 
当 具 有 抗灾 容错 的 能 力 。 第 四 ,安全 性 。 防 止 数 据 的 泄密 是 数据 的 机 密 性 问题 ,防止 数据 被 
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算 改 是 确保 数据 完整 性 的 问题 。 
要 想 获 得 安全 的 云 服务 需要 从 技术 、 管 理 、 外 部 审计 、 服 务 水 平 协议 、 法 律 法 规 等 多 个 方 
面 来 构建 全 面 的 云 应 用 防护 体系 。 


3.2.2 信息 资源 安全 规划 


信息 作为 资源 是 马克 卢 普 和 波 拉 特等 经 济 学 家 在 20 世纪 60 年 代 提出 来 的 。 如 今 信息 
资源 作为 国民 经 济 的 三 大 资源 之 一 ,其 作用 在 当代 社会 与 经 济 环境 中 越 来 越 重要 ,所 谓 知识 
就 是 力量 ,知识 就 是 财富 ,能 否 掌握 信息 资源 就 成 为 能 否 占据 竞争 优势 的 关键 。 信 息 系 统 是 
组 织 处 理 与 利用 信息 资源 的 工具 ,信息 资源 作为 信息 系统 的 三 大 要 素 之 一 ,信息 系统 安全 规 
划 的 重点 就 是 对 信息 资源 的 安全 规划 。 

信息 资源 安全 是 指 信 息 资 源 所 涉及 的 硬件 、 软 件 及 应 用 系统 受到 保护 ,以 防范 和 抵御 对 
信息 资源 不 合法 的 使 用 和 访问 以 及 有 意 无 意 地 泄露 和 破坏 。 信 息 资 源 安全 包括 了 从 信息 的 
采集 ,传输 .处理 ,存储 和 使 用 的 全 过 程 所 涉及 的 安全 问题 。 

从 信息 处 理 的 角度 ,信息 资源 安全 包括 : 

。 信息 内 容 的 真实 无 误 , 以 保证 信息 的 完整 性 。 

。 信息 不 会 被 非法 泄露 和 扩散 ,以 保证 信息 的 保密 性 。 

。 信息 的 发 送 和 接收 者 不 可 否认 自己 所 做 过 的 操作 行为 ,以 确保 信息 的 不 可 否认 性 。 

从 信息 组 织 层次 的 角度 ,信息 资源 安全 包括 : 

。 系统 的 管理 者 对 网 络 和 信息 系统 有 足够 的 控制 和 管理 能 力 , 以 保证 信息 的 可 控 

制 性 。 

。 准确 跟踪 实体 运行 达到 审计 和 识别 的 目的 ,以 保证 信息 的 可 计算 性 。 

。 网 络 协议 .操作 系统 和 应 用 系统 能 够 相互 连接 ,协调 运行 ,以 保证 信息 的 互 操作 人 性。 

从 信息 运行 环境 角度 ,包括 各 种 硬件 设施 的 物理 安全 。 从 信息 管理 规范 的 角度 ,包括 各 
种 各 样 的 规章 制度 .法律 法 规 . 人 员 安 全 性 等 。 

威胁 信息 资源 安全 的 主要 因素 包括 : 

(1) 非 人 为 因素 。 

非 人 为 因素 是 指 不 可 控制 的 自然 灾害 ,如 地 震 、 火 灾 ,战争 等 ,这 种 灾害 轻 则 造成 业务 工 
作 混 乱 , 重 则 造成 系统 中 断 甚至 造成 无 法 估计 的 损失 。 

(2) 人 为 因素 。 

人 为 因素 包括 两 种 :“ 无 意 ” 因 素 和 “有 意 ” 因 素 。“ 无 意 ” 因 素 是 指 人 为 的 无 意 失误 和 各 
种 各 样 的 误 操 作 等 。 典 型 的 无意 ”因素 有 操作 人 员 误 删 文件 , 操 作 人 员 误 输入 数据 ,系统 管 
理 员 为 操作 员 的 安全 配置 不 当 , 用 户口 令 选择 不 慎 , 操 作 人 员 将 自己 的 账号 随意 转借 他 人 或 
与 别人 共享 等 。“ 有 意 ” 因 素 指 人 为 的 对 信息 资源 进行 恶意 破坏 的 行为 。“ 有 意 ” 因 素 是 目前 
信息 资源 所 面临 的 最 大 威胁 。“ 有 意 ” 因 素 主要 包括 以 下 3 种 类 型 。 

Q@ 恶意 攻击 : 包括 主动 攻击 和 被 动 攻击 两 种 形式 。 其 中 主动 攻击 是 指 以 某 种 手段 主 
动 破坏 信息 的 有 效 性 和 完整 性 ; 被 动 攻击 则 是 在 不 影响 信息 (或 网 络 ) 系 统 正常 工作 的 情况 
下 ,截获 窃取 、 破 译 重 要 机 密 信息 。 这 两 种 恶意 攻击 方式 均 可 对 信息 资源 造成 极 大 的 危害 ， 
并 导致 机 密 数 据 的 泄露 。 

@ 违纪 : 指 内 部 工作 人 员 违 反 工 作 规程 和 制度 的 行为 。 例 如 ,银行 系统 的 网 络 系统 管 
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理 员 与 操作 员 的 口令 一 致 ,职责 不 分 等 。 

@ 违法 犯罪 : 包括 制造 和 传播 病毒 、 非 法 复制 等 ,例如 侵犯 著作 权 、 窃 取 机 密 、 金 融 犯 
罪 等 。 

(3) 信息 系统 自身 的 脆弱 性 。 

计算 机 硬件 系统 的 故障 : 因 生 产 工 艺 或 制造 商 的 原因 ,计算 机 硬件 系统 本 身 存在 故障 ， 
如 电路 短路 .断路 .接触 不 良 等 引起 系统 的 不 稳定 .电压 波动 的 干扰 等 。 

软件 的 “后 门 ”: 指 软件 公司 的 程序 设计 人 员 为 了 自 便 而 在 开发 时 预 留 设 置 的 , 旨 在 为 
软件 调试 .进一步 开发 或 远程 维护 提供 方便 。 然 而 ,这 些 软件 的 “后 门 也 为 非法 入 侵 提供 了 
通道 ,一旦 “后门 洞开 ,将 会 造成 严重 的 后 果 。 

软件 的 漏洞 : 软件 不 可 能 是 百分之百 无 缺陷 和 无 漏洞 的 ,这 些 缺 陷 和 漏洞 往往 是 黑客 
攻击 的 首选 目标 ,软件 的 错误 (Bug) 便 是 典型 的 漏洞 。 

由 于 信息 系统 中 管理 的 是 整个 企业 或 单位 的 各 种 信息 ,其 中 往往 还 会 有 不 少 企 业 的 机 
密 信息 ,这 就 需要 防止 一 些 非 授 权 用 户 “ 有 意 ” 或 无意” 地 获取 这 些 信息 。 同 时 ,在 有 些 信息 
系统 中 ,对 系统 中 数据 的 不 当 操作 也 可 能 对 企业 或 单位 造成 巨大 的 损失 。 此 外 ,目前 在 网 络 
中 相当 猩 狐 的 计算 机 病毒 ,也 可 能 会 对 网 络 信息 系统 产生 难以 预料 的 破坏 。 因 此 ,必须 采取 
有 效 的 措施 ,保护 网 络 信息 系统 中 信息 资源 的 安全 。 

对 信息 系统 来 说 ,信息 资源 保护 的 内 容 大 致 分 为 数据 库 级 信息 保护 .服务 器 级 信息 保 
护 、 服 务 器 代码 级 信息 保护 、 客 户 端 代码 级 信息 保护 等 内 容 。 

(1) 数据 库 级 信息 保护 。 网 络 信 息 系 统 绝 大 多 数 都 要 使 用 数据 库 , 因 此 可 利用 数据 库 
自身 的 安全 特性 和 保密 机 制 , 来 实现 数据 库 的 信息 保护 。 如 在 SIMMIS 中 ,使 用 了 甲骨 文 
公司 的 Oracle 数据 库 。Oracle 的 高 级 保密 机 制 通过 设置 各 种 特权 ,控制 对 敏感 数据 的 存 
取 。 用 户 根据 连接 到 数据 库 的 名 称 被 赋予 各 种 特权 ,如 查看 ,修改 和 创建 数据 库 等 。 用 这 些 
机 制 来 保证 只 有 授权 用 户 才能 查看 敏感 数据 。 另 外 ,数据 库 都 提供 备份 和 恢复 的 功能 。 如 
Oracle 提供 了 高 级 备份 和 恢复 的 子 例 程 ,能 把 数据 丢失 的 可 能 性 降 到 最 小 ,并 使 出 现 故障 
时 的 排 错时 间 最 短 。 同 时 ,Oracle 的 服务 器 也 提供 了 备份 和 恢复 的 机 制 ,允许 用 户 每 天 、 每 
周 、 每 年 不 间断 地 访问 数据 。 

(2) 服务 器 级 信息 保护 。 网 络 信息 系统 的 Web 服务 器 (如 IBM 的 Websphere,Sun 的 
Weblogic,Microsoft 的 HS 等 ), 一 般 都 具有 安全 和 保护 功能 。 在 SIMMIS 中 ,采取 的 
Microsoft 的 IIS 服务 。 对 于 在 Windows 操作 系统 的 计算 机 上 联网 ,IIS 是 比较 理想 的 , 它 
可 以 在 现 有 硬件 上 设置 功能 强大 的 Web 服务 器 。IIS 利用 了 Windows 的 安全 特征 和 性 能 
优势 , 它 在 Windows 操作 系统 上 建立 安全 性 模型 ,并 提供 附加 监视 和 安全 性 保障 。 

(3) 服务 器 代码 级 信息 保护 。 在 网 络 信息 系统 中 ,可 以 充分 利用 编程 语言 的 特性 ,编写 
各 种 各 样 的 过 程 或 函数 ,判断 客户 端 浏览 器 所 提交 的 请 求 是 否 合法 。 如 在 SIMMIS 中 ,使 
用 了 ASP 编程 语言 实现 服务 器 代码 级 信息 保护 。 

Q@ 访问 计算 机 的 IP 地 址 限制 。 在 客户 端 对 信息 系统 服务 器 端 提交 请 求 时 ,服务 器 端 
可 以 获得 客户 端的 IP 地 址 。 因 此 ,可 以 在 代码 中 对 客户 端的 卫 地 址 进行 判断 ,如 果 客 户 端 
的 IP 属于 拒绝 访问 列表 中 的 IP 地 址 ,那么 服务 器 端 将 拒绝 访问 。 

@ 对 访问 某 一 页 面 的 网 址 的 限制 。 在 网 络 信息 系统 中 ,可 以 从 客户 端 请 求 中 的 HTTP 
报头 得 到 客户 端 是 由 哪 一 个 网 页 进入 的 。 如 果 不 希 望 用 户 只 通过 获知 网 址 (URL) 才 可 进 
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人, 则 可 在 程序 中 进行 控制 ,规定 只 可 由 某 几 个 链接 点 进入 某 一 个 网 页 。 

@ 对 访问 某 一 页 面 的 权限 的 限制 。 在 网 络 信息 系统 中 ,由 于 每 个 用 户 的 级 别 不 同 ,他 
们 对 每 个 页 面 的 权限 也 就 不 同 。 比 如 在 学 生成 绩 管理 系统 中 ,教师 用 户 的 权限 是 可 以 查看 
所 有 学 生 的 成 绩 , 而 学 生 只 能 查看 自己 的 成 绩 。 因 此 可 对 某 一 个 页 面 , 设 定 其 权限 等 级 。 在 
SIMMIS 中 ,定义 了 “默认 用 户 ”“ 注 册 用 户 ”“ 教 师 用 户 ”“ 领 导 用 户 ”“ 系 统管 理 员 ”4 类 
用 户 ,并 设 定 了 相应 的 权限 。 由 于 权限 的 不 同 ,4 类 用 户 所 看 见 的 页 面 也 会 不 同 , 从 而 实现 
了 信息 系统 的 信息 保护 。 

@ 高 强度 的 加 密 系统 。 在 网 络 信息 系统 中 ,为 了 防止 黑客 攻击 或 在 请 求 传 输 过 程 中 机 
密 信息 被 泄露 ,可 采取 对 信息 加 密 的 方法 。 在 SIMMIS 中 ,采用 的 是 SSL 加 密 系统 。SSL 
是 提交 给 W3C 工作 组 关于 安全 性 的 协议 , 它 被 视 为 Internet 上 Web 浏览 器 和 服务 器 的 标 
准 安 全 性 措施 。SSL 提供 了 用 于 启动 TCP/IP 链接 的 安全 性 “信号 交换 ”, 这 种 信和 号 交换 首 
先 使 客户 和 服务 器 同意 使 用 的 安全 性 级 别 ,并 懂行 链接 的 任何 身份 验证 要 求 。 此 后 ,SSL 
的 唯一 作用 是 加 密 和 解密 要 使 用 的 应 用 程序 协议 的 字 节 流 (如 HTTP)。 这 意味 着 HTTP 
请 求 和 HTTP 响应 中 的 所 有 信息 将 完全 被 加 密 ,包括 客户 正 请 求 的 URL、 任 何 提交 形式 的 
内 容 ( 如 信用 卡号 )、 任 何 HTTP 访问 身份 验证 信息 (如 用 户 名 和 密码 ) 以 及 从 服务 器 返回 到 
客户 的 所 有 信息 ,从 而 实现 了 网 络 信息 系统 中 信息 传输 过 程 的 信息 保护 。 

@ 访问 超时 控制 。 网 络 信息 系统 中 使 用 访问 超时 限制 。 可 以 设置 在 一 定 的 时 间 内 如 
果 没 有 接收 到 请 求 ,服务 器 将 自动 结束 这 一 访问 状态 。 如 果 用 户 在 浏览 某 站 点 的 中 途 去 做 
其 他 事情 ,如 果 时 间 已 超过 服务 器 认可 的 最 长 时 间 , 则 其 访问 会 被 自动 关闭 。 

(4) 客户 端 代码 级 信息 保护 。 在 网 络 信息 系统 中 ,可 以 在 客户 端 脚 本 中 ,使 用 各 种 各 样 
的 函数 来 验证 客户 端 提交 的 请 求 ,并 在 执行 提交 之 前 验证 用 户 输入 的 内 容 是 否 为 可 接受 的 
内 容 。 如 限制 "年龄 "输入 框 中 的 输入 应 该 为 日 期 的 格式 并 大 致 在 哪个 年 龄 段 之 间 , 或 者 是 
验证 “人 数 ? 输 入 框 中 的 输入 必须 是 正 整数 等 。 这 样 , 可 以 有 效 地 减轻 服务 器 的 某 些 工作 , 提 
高 系统 的 效率 。 

在 系统 进行 远程 数据 传输 时 ,为 防止 数据 泄露 ,可 以 采取 密码 措施 进行 保护 。 加 密 后 ， 
数据 在 传输 过 程 中 即使 被 人 侵 者 截获 ,由 于 是 密 文 形式 ,获取 的 信息 也 毫 无 价值 。 


3.2.3 网 络 与 系统 安全 规划 


目前 计算 机 网 络 面临 的 风险 及 威胁 越 来 越 大 ,不 仅 面 临 黑客 .竞争 对 手 的 威胁 ,心怀 不 
满 的 员工 也 都 有 可 能 成 为 网 络 的 潜在 破坏 者 ,为 保障 网 络 与 系统 的 安全 运行 ,一 定 要 建立 一 
套 完整 的 防护 体系 。 

一 个 全 方位 的 计算 机 网 络 安全 体系 结构 包含 网 络 的 物理 安全 ,访问 控制 安全 、 系 统 安 
全 、 用 户 安全 、 信 息 加 密 、 安 全 传输 和 管理 安全 等 。 只 有 充分 利用 各 种 先进 的 技术 ,如 主机 安 
全 技术 、 身 份 认证 技术 ,访问 控制 技术 、 密 码 技术 、 防 火 墙 技 术 、 网 络 反 病毒 技术 、 安 全 审计 技 
术 、 安 全 管理 技术 .系统 漏洞 检测 技术 .黑客 跟踪 技术 等 ,在 攻击 者 和 受 保护 的 资源 间 建 立 多 
道 严密 的 安全 防线 ,才能 够 增加 恶意 攻击 的 难度 及 审核 信息 的 数量 ,并 且 利 用 这 些 审核 信息 
来 跟踪 入 侵 者 。 

网 络 的 物理 安全 是 整个 系统 安全 的 前 提 , 网 络 的 各 项 物理 设施 应 符合 国家 有 关 安 全 保 
密 标准 。 首 先 ,系统 所 在 的 机 房 应 满足 防火 、 防 水 、 防 震 、 电 力 、 布 线 、 配 电 、 温 湿度 、 防 雷 、 防 
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静电 等 方面 的 要 求 。 其 次 ,系统 所 用 的 安全 保密 产品 原则 上 必须 选用 国产 设备 ,并 应 获得 国 
家 保密 工作 部 门 批准 。 所 用 的 非 安全 保密 产品 ,优先 选择 国产 设备 , 当 需 要 选用 国外 设备 
时 ,应 进行 详细 的 调查 与 论证 ,必要 时 应 对 选用 的 国外 产品 进行 安全 保密 检测 。 最 后 ,系统 
中 设备 的 安装 使 用 应 符合 国家 保密 标准 的 要 求 , 不 符合 要 求 的 必须 采取 电磁 泄漏 的 防护 措 
施 , 如 采取 电磁 屏蔽 、 线 路 传导 干扰 等 措施 ,从 而 使 得 窃 密 者 接收 不 到 或 还 原 不 了 信息 。 

为 解决 系统 在 运行 层面 的 安全 问题 ,应 采取 如 防火 墙 、 入 侵 检测 、 漏 洞 扫描 、 安 全 审计 、 
身份 鉴别 ,病毒 防护 等 措施 。 防 火 墙 的 主要 作用 是 在 网 络 出 口 处 检查 网 络 通信 情况 ,根据 预 
先 设 定 的 安全 规则 ,在 保护 内 部 网 络 安全 的 前 提 下 ,保障 内 外 网 络 通信 。 在 网 络 出 口 处 安装 
防火 墙 (作为 阻塞 点 ,控制 点 ) ,可 有 效 地 隔离 内 部 网 络 与 外 部 网 络 , 提 高 内 部 网 络 的 安全 性 。 
现在 越 来 越 多 的 蠕虫 .病毒 .木马 和 黑客 能 够 成 功 突破 防火 墙 对 网 络 的 保护 ,通过 部 署 可 与 
防火 墙 联动 的 入侵 检测 系统 ,实时 分 析 进 出 系统 的 数据 流 , 对 攻击 事件 进行 实时 跟踪 ,及 时 
发 出 安全 警报 并 阻 断 攻 击 ,从 而 使 网 络 隐患 降 至 最 低 限 度 。 入 侵 检测 设备 可 以 置 于 防火 墙 
前 面 , 也 可 以 置 于 防火 墙 后 方 。 通 过 漏洞 扫描 系统 的 扫描 分 析 , 检 查 和 报告 系统 网 络 设备 、 
服务 器 主机 数据 和 用 户 账号 及 口令 等 所 存在 的 安全 风险 漏洞 和 威胁 ,及 时 采取 补救 措施 
与 安全 策略 ,配置 或 修改 系统 ,从 而 达到 增强 系统 安全 性 的 目的 。 通 过 安全 审计 系统 实时 收 
集 和 监控 系统 中 每 个 用 户 的 每 次 活动 (访问 时 间 、` 地 址 ,数据 ,程序 .设备 等 ) 以 及 系统 出 错 和 
配置 修改 信息 ,为 系统 管理 人 员 审 查 用 户 提供 依据 ,有 助 于 提高 信息 系统 安全 管理 的 效率 。 
建立 身份 鉴别 机 制 ,是 保障 信息 系统 安全 的 关键 。 对 进入 系统 的 用 户 身份 进行 认证 ,以 判断 
该 用 户 是 否 为 系统 的 合法 用 户 ,通常 采用 口令 方式 或 智能 卡 与 口令 相 结合 的 方式 进行 身份 
鉴别 。 智 能 卡 与 口令 相 结 合 的 方式 安全 性 较 高 , 且 便 于 用 户 使 用 。 日 益 泛滥 的 计算 机 病毒 
问题 已 成 为 信息 安全 的 最 严重 威胁 之 一 。 计 算 机 病毒 一 旦 进入 ,传播 难以 控制 ,有 可 能 迅速 
殊 及 整个 系统 ,其 破坏 力 和 潜在 的 威胁 是 非常 大 的 。 因 此 ,系统 中 应 安装 获得 公安 机 关 批 准 
的 防 病 毒 软件 ,将 杀毒 软件 的 各 种 防 病毒 监控 打开 ,进行 全 面 监控 ,及 时 升级 病毒 库 至 最 新 
版 本 ,并 定期 查 杀 计 算 机 病毒 。 

在 实施 网 络 安全 防范 措施 时 要 考虑 以 下 几 点 : 加 强 主机 本 身 的 安全 ,做 好 安全 配置 ,及 
时 安装 安全 补丁 程序 ,减少 漏洞 ; 要 用 各 种 系统 漏洞 检测 软件 定期 对 网 络 系统 进行 扫描 分 
析 , 找 出 可 能 存在 的 安全 隐患 ,并 及 时 加 以 修补 ; 从 路 由 器 到 用 户 各 级 建立 完善 的 访问 控制 
措施 ,安装 防火 墙 ,加 强 授权 管理 和 认证 ; 利用 数据 存储 技术 加 强 数据 备份 和 恢复 措施 ; 对 
敏感 的 设备 和 数据 要 建立 必要 的 物理 或 逻辑 隔离 措施 ; 对 在 公共 网 络 上 传输 的 敏感 信息 要 
进行 数据 加 密 ; 安装 防 病毒 软件 ,加 强 内 部 网 的 整体 防 病毒 措施 ; 建立 详细 的 安全 审计 日 
志 , 以 便 检测 并 跟踪 入 侵 攻 击 等 。 

系统 安全 方面 主要 考虑 操作 系统 安全 和 应 用 系统 安全 。 选 择 操作 系统 时 ,尽量 采用 安 
全 性 较 高 的 操作 系统 ,并 且 对 操作 系统 进行 必要 的 安全 设置 ,关闭 一 些 不 常用 却 存在 安全 隐 
患 的 应 用 。 日 常 密切 关注 操作 系统 漏洞 及 补丁 发 布 情况 ,争取 在 第 一 时 间 下 载 补丁 , 查 漏 
补缺 。 

应 用 系统 方面 ,不论 是 通用 的 应 用 软件 ,还 是 量 身 订 制 的 应 用 软件 ,都 存在 安全 风险 。 
对 于 前 者 ,参照 加 强 操作 系统 安全 的 做 法 ,及 时 发 现 , 堵 塞 安全 漏洞 。 对 于 后 者 ,优选 通过 质 
量 控制 体系 认证 、 富 有 行业 软件 开发 经 验 的 软件 公司 ,加 强 软件 开发 质量 控制 ,安排 较 长 时 
间 的 试 运行 等 策略 ,以 规避 风险 ,提高 软件 的 防范 水 平 。 
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3.2.4 组 织 与 管理 安全 规划 


信息 系统 的 组 织 和 管理 安全 是 保证 信息 系统 安全 的 有 机 整体 ,健全 的 信息 系统 安全 管 
理 组 织 是 有 效 实施 信息 系统 安全 管理 的 前 提 , 通 过 信息 系统 安全 管理 组 织 对 信息 系统 进行 
安全 的 管理 则 是 要 达到 的 最 终 目 的 。 

俗话 说 ,“ 三 分 技术 ,七 分 管理 ”, 组 织 与 管理 作为 信息 系统 安全 保障 的 重要 组 成 部 分 ,要 
保障 系统 稳健 运行 和 信息 安全 ,应 该 在 以 下 几 个 方面 采取 措施 。 

1. 建立 安全 保密 管理 机 构 

健全 信息 系统 安全 管理 组 织 机 构 , 是 保障 信息 系统 安全 的 基础 。 一 个 健全 的 信息 系统 
安全 管理 组 织 ,应 具有 完善 的 机 构 设置 和 合理 健全 的 管理 规章 制度 ,机 构 内 工作 人 员 各 司 其 
职 .各 尽 其 责 、 团 结 协作 ,确保 各 项 安全 工作 顺利 进行 。 建 立 安全 保密 管理 机 构 ,明确 规定 安 
全 保密 管理 机 构 的 职能 。 其 具体 职责 是 : 制定 系统 安全 保密 管理 制度 和 安全 策略 ,包括 技 
术 策 略 和 管理 策略 ; 制定 并 组 织 实施 安全 保密 措施 ; 定期 进行 信息 系统 安全 保密 检查 。 

2. 制定 安全 保密 管理 制度 

信息 系统 安全 与 否 很 大 程度 上 取决 于 具体 的 安全 管理 方法 ,许多 用 户 为 维护 自身 利益 ， 
在 安全 管理 方法 上 做 了 大 量 的 尝试 ,也 积累 了 很 多 行 之 有 效 的 经 验 ,认真 分 析 不 难 发 现 , 实 
现 安全 管理 的 前 提 是 严格 的 安全 管理 制度 .明确 的 责任 分 工 。 认 真 严格 执行 并 完善 安全 管 
理 制 度 才能 达到 安全 管理 的 最 终 目 的 。 制 定安 全 保密 管理 制度 和 系统 安全 策略 ,有 利于 加 
强 系统 运行 管理 ,从 而 提高 系统 安全 性 .可靠 性 。 

安全 保密 管理 制度 包括 : 物理 环境 与 安全 设施 管理 .设备 和 移动 存储 介质 管理 、. 计 算 机 
病毒 与 恶意 代码 防护 管理 ,系统 备份 与 恢复 管理 ,系统 运行 与 开发 管理 ,系统 安全 审计 管理 、 
应 急 响应 管理 .内 部 人 员 管 理 、 外 部 相关 人 员 管理 等 。 

系统 安全 策略 包括 : 安全 审计 策略 、 备 份 与 恢复 策略 、 计 算 机 病毒 与 恶意 代码 防护 策 
略 ,身份 鉴别 策略 .运行 管理 策略 ,系统 安全 性 能 检测 策略 .系统 安全 保密 管理 策略 .信息 完 
整 性 保护 策略 ,应急 响应 策略 等 。 

3. 配备 系统 管理 人 员 

为 保证 系统 的 安全 稳定 运行 ,需要 设置 系统 管理 员 ,安全 管理 员 和 安全 审计 员 等 系统 管 
理 人 员 。 系 统管 理 员 主 要 负责 系统 的 日 常 运行 维护 工作 ,保证 系统 的 正常 运行 。 安 全 管理 
员 主 要 负责 系统 的 日 常安 全 保密 管理 工作 ,包括 用 户 账号 管理 .安全 保密 设备 和 系统 所 产生 
日 志 的 审查 分 析 。 安 全 审计 员 主 要 负责 对 系统 管理 员 ,安全 管理 员 的 操作 行为 进行 监督 检 
查 ,并 定期 向 系统 安全 管理 机 构 汇报 相关 情况 。 

4. 使 用 用 户 权 限 管理 策略 

通常 信息 系统 都 包含 许多 相对 独立 的 应 用 子 系统 ,为 了 避免 各 子 系统 单独 使 用 自己 的 
权限 管理 系统 ,导致 重复 开发 ,权限 管理 分 散 等 问题 ,考虑 将 系统 访问 权限 管理 也 独立 出 来 ， 
对 权限 进行 集中 管理 。 目 前 ,基于 角色 的 访问 控制 (RBAC) 技 术 已 比较 成 熟 , 其 核心 思想 就 
是 将 访问 权限 与 角色 相 联系 ,通过 给 用 户 分 配合 适 的 角色 ,让 用 户 与 访问 权限 相 联系 。 根 据 
用 户 在 企业 中 的 职责 来 设 定 用 户 的 角色 。 用 户 可 以 在 角色 间 进 行 转换 ,系统 可 以 添加 、 删 除 
角色 ,还 可 以 对 角色 的 权限 进行 添加 、 删 除 。 这 样 通过 应 用 RBAC 将 权限 管理 变 成 类 似 于 
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企业 日 常 的 组 织 管理 。 

在 RBAC 中 ,角色 作为 一 个 桥梁 沟通 于 用 户 和 资源 之 间 。 对 用 户 的 访问 授权 转变 为 对 
角色 的 授权 ,然后 再 将 用 户 与 特定 的 角色 联系 起 来 。 权 限 被 授予 给 角色 ,角色 被 授予 给 用 
户 ,用 户 不 直接 与 权限 相关 联 。 用 户 只 有 通过 角色 才 享 有 该 角色 所 对 应 的 权限 ,从 而 访问 相 
应 的 客体 。 角 色 的 权限 即 为 角色 所 拥有 的 功能 ,表现 为 对 某 一 子 系统 或 一 系列 菜单 项 可 执 
行 功 能 , 称 为 功能 项 。 一 旦 一 个 RBAC 系统 建立 起 来 以 后 ,主要 的 管理 工作 即 为 对 角色 授 
权 或 更 改 用 户 的 角色 。 

5. 加 强人 员 管 理 

人 是 具有 复杂 情感 的 动物 ,要 做 好 人 员 管 理 并 不 是 一 件 容 易 的 事情 。 但 在 信息 系统 安 
全 管理 中 ,人 员 管 理 占据 举足轻重 的 地 位 ,要 加 大 管理 力度 ,使 人 员 管 理 在 信息 系统 安全 中 
发 挥 应 有 的 作用 。 

人 员 管 理 包 括 内 部 人 员 和 外 部 相关 人 员 管 理 。 

1) 内 部 人 员 管 理 

系统 内 的 管理 人 员 和 操作 使 用 人 员 也 是 信息 安全 隐患 的 一 个 重要 因素 。 首 先 要 对 人 员 
的 个 人 经 历 、 社 会 关系 政治 思想 状况 ,职业 道德 等 进行 审查 ,确保 系统 中 每 个 用 户 都 安全 可 
靠 。 其 次 ,明确 岗位 职责 ,使 每 个 用 户 都 能 够 按照 自己 的 岗位 和 职权 使 用 系统 。 

除 加 强 对 系统 管理 人 员 及 操作 使 用 人 员 进 行 计算 机 技术 及 使 用 操作 培训 外 ,还 要 重点 
培训 系统 使 用 方面 的 安全 操作 知识 ,包括 登录 、 退 出 等 基本 操作 规范 以 及 口令 保密 意识 等 。 
同时 对 系统 管理 员 ,还 要 做 更 深入 的 技术 培训 ,如 系统 的 运行 维护 .非法 入 侵 的 识别 能 力 与 
防范 能 力 等 。 

2) 外 部 相关 人 员 管 理 

外 部 相关 人 员 是 指 经 常 或 一 段 时 间 内 需要 进入 系统 现场 进行 维修 .服务 的 外 部 人 员 。 
应 采取 相应 的 技术 和 管理 手段 ,加强 外 部 相关 人 员 的 管理 ,具体 包括 保密 要 求 、 安 全 控制 区 
域 隔离 .携带 物品 限制 和 旁 站 陪同 控制 等 四 个 方面 。 


3.3 ”信息 系统 安全 规划 模型 与 方法 


信息 系统 安全 规划 模型 与 方法 是 保证 安全 系统 的 有 效 手段 ,在 安全 规划 过 程 中 选择 适 
当 的 安全 模型 与 方法 ,将 起 到 事半功倍 的 作用 。 本 节 在 探讨 现 有 信息 系统 安全 模型 的 基础 
上 ,分 析 了 访问 控制 模型 和 信息 流 模型 的 优 缺点 ; 并 针对 信息 系统 安全 的 实际 要 求 ,对 安全 
模型 进行 了 改进 ; 最 后 根据 安全 系统 设计 的 原则 ,提出 了 信息 系统 安全 规划 的 总 体 实 现 方法 。 


3.3.1 安全 规划 模型 


随 着 Internet/Intranet 技术 的 迅速 发 展 和 广泛 应 用 ,信息 系统 的 安全 ,特别 是 网 络 系统 
的 安全 逐渐 成 为 人 们 日 益 关注 的 问题 。 所 谓 信息 系统 安全 是 指 机 密 性 有 效 性 、 真 实 性 、 完 
整 性 和 信息 可 用 性 的 结合 。 为 了 有 效 地 保护 信息 安全 ,人 们 开发 出 多 种 信息 安全 技术 ,但 理 
论 上 不 存在 绝对 安全 的 系统 。 设 计 出 一 个 优越 的 安全 系统 的 关键 是 提出 并 实现 详尽 全 面 的 
安全 策略 , 即 要 对 系统 的 安全 需求 分 析 以 及 安全 控制 方法 有 一 个 清晰 、 全 面 的 理解 和 描述 。 
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安全 模型 就 是 安全 策略 的 一 种 精确 描述 , 它 在 安全 系统 开发 中 起 着 关键 的 作用 。 最 早 的 安 
全 模型 是 用 于 描述 军事 安全 策略 的 , 随 着 计算 机 的 迅速 普及 ,适用 于 各 种 应 用 领域 安全 需求 
的 安全 模型 不 断 被 提出 。 安 全 模型 具有 下 列 特点 : 

(1) 它 是 精确 的 ,无 歧义 的 。 

(2) 它 是 简单 和 抽象 的 ,容易 理解 。 

(3) 它 是 一 般 性 的 ,只 涉及 安全 性 质 ,不 过 度 地 抑制 系统 的 功能 及 实现 。 

信息 系统 安全 的 最 终 目 标 是 保障 信息 的 保密 性 和 完整 性 ,因此 从 这 一 点 来 分 析 ,信息 系 
统 的 安全 规划 模型 应 该 主要 针对 这 两 点 。 图 3. 1 表示 的 是 安全 模型 与 安全 目标 的 关系 。 
[一 自主 访问 控制 


BLP 模 型 
访问 控 | 强制 
访问 控制 模型 | 访 强项 


保 Chinese Wall 模型 
从 [基于 角色 的 访问 控制 
一 信息 流 模型 
一 Biba 模 型 
完 
束 
性 


一 Clark-Wilson 模 型 
3.1 安全 模型 与 安全 目标 的 关系 图 


由 图 3. 1 可 知 , 保 障 信息 系 统 的 保密 性 的 模型 分 为 两 种 : 一 种 是 访问 控制 模型 ; 另 一 种 
是 信息 流 模型 。 

1. 访问 控制 模型 

访问 控制 是 确保 信息 系统 安全 的 重要 措施 之 一 。 访 问 控 制 模型 是 从 访问 控制 的 角度 描 
述 安 全 系统 ,主要 针对 系统 中 主体 对 客体 的 访问 及 其 安全 控制 。 访 问 控 制 安 全 模型 中 一 般 
包括 主体 、 客 体 ,以 及 为 识别 和 验证 这 些 实体 的 子 系统 和 控制 实体 间 访 问 的 参考 监视 器 。 通 
常 访问 控制 可 以 分 为 自主 访问 控制 ,强制 访问 控制 以 及 基于 角色 的 访问 控制 3 类。 

1) 自主 访问 控制 (Discretionary Access Control,DAC) 

自主 访问 控制 是 一 种 最 普遍 的 访问 控制 策略 ,DAC 中 主体 对 客体 的 访问 权限 是 由 客体 
的 拥有 者 所 决定 的 ,也 就 是 说 ,系统 允许 客体 的 拥有 者 可 以 按照 自己 的 意愿 自主 地 将 该 客体 
的 访问 权限 或 访问 权限 子 集 授予 其 他 主体 。 

2) 强制 访问 控制 (Mandatory Access Control, MAC) 

系统 给 主体 和 客体 分 配 不 同 的 安全 属性 ,在 实施 访问 时 ,系统 须 对 主体 和 客体 的 安全 属 
性 进行 比较 ,再 决定 主体 能 否 访问 客体 。 强 制 访问 控制 对 主体 和 客体 标记 两 个 安全 标记 : 
一 个 是 具有 偏 序 关系 的 安全 等 级 标记 ; 另 一 个 是 非 等 级 分 类 标记 。 强 制 访 问 控制 的 另 一 个 
特征 是 不 能 “向 下 写 " 信 息 ,也 就 是 说 在 系统 中 不 允许 向 下 一 级 泄密 。 军 方 一 直 使 用 信息 安 
全 等 级 和 范畴 的 方法 来 保证 信息 的 授权 访问 。 

MAC 通过 分 级 的 安全 标签 实现 了 信息 的 单 向 流通 ,其 中 最 著名 的 是 Bell-LaPadula 模 
型 。Bell-LaPadula 模型 具有 只 允许 向 下 读 、 向 上 写 的 特点 ,可 以 有 效 地 防止 机 密 信息 向 下 
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下 面 对 MAC 模型 中 的 两 种 主要 模型 进行 介绍 : 

(1) Bell-LaPadula(BLP) 模 型 。 

1973 年 ,D.E. Bell 和 L.J. LaPadula 提出 了 一 个 可 证 明 的 安全 系统 模型 ,就 是 Bell- 
LaPadula 模型 ,简称 BLP 模型 。 在 随后 的 几 年 中 ,BLP 模型 得 到 了 进一步 的 充实 和 改善 。 
Bell 和 LaPadula 在 1976 年 完成 的 研究 报告 中 给 出 了 BLP 模型 最 完整 的 表达 ,其 中 包含 模 
型 的 形式 化 描述 和 非 形式 化 说 明 。 

BLP 模型 是 典型 的 信息 保密 性 多 级 安全 模型 ,主要 应 用 于 军事 系统 。BLP 模型 通常 是 
处 理 多 级 安全 信息 系统 的 设计 基础 ,客体 在 处 理 绝密 级 数据 和 秘密 级 数据 时 ,要 防止 处 理 绝 
密级 数据 的 程序 把 信息 泄露 给 处 理 秘密 级 数据 的 程序 。BLP 模型 的 出 发 点 是 维护 系统 的 
机 密 性 ,有 效 地 防止 信息 泄露 。 

BLP 模型 是 一 个 状态 机 模型 , 它 定 义 的 系统 包含 一 个 初始 状态 x。 和 由 一 些 三 元 组 (请 
求 ,判定 ,状态 ) 组 成 的 序列 ,三 元 组 序列 中 相 邻 状态 之 间 满 足 某 种 特定 的 关系 W。 如 果 一 
个 系统 的 初始 状态 是 安全 的 ,并 且 三 元 组 中 所 有 状态 都 是 安全 的 ,那么 这 样 的 一 个 系统 就 是 
安全 的 。 

在 BLP 模型 中 ,系统 状态 用 四 元 组 (6,M,f, 昌 ) 来 表示 ,其 中 4b 表示 当前 访问 集合 ; M 
是 访问 控制 矩阵 ; f 代表 安全 等 级 函数 ,用 于 确定 任意 主体 和 客体 的 安全 等 级 ; 五 表示 客 
体 层次 关系 。 当 前 访问 可 用 三 元 组 (S,O,z) 表 示 , 其 中 S 是 主体 (Subject), 指 用 户 、 进 程 等 
主动 实体 ; O 是 客体 (Object) , 指 文件 等 受 主体 控制 的 实体 ; x 是 访问 权限 ,包括 ~( 只 可 
读 )、a( 只 可 写 ) .e( 可 执行 ) .ww( 可 读 写 )4 类 。 主 体 的 安全 级 别 包 括 最 大 安全 级 别 和 当前 安 
全 级 别 , 最 大 安全 级 通常 简称 为 安全 级 别 。 

BLP 模型 是 一 个 多 级 安全 模型 ,多 级 安全 (Multilevel Security,MLS) 的 核心 思想 是 防 
止 高 密级 的 信息 泄露 给 低 密 级 的 主体 ,为 了 形式 化 地 描述 MLS 策略 ,假设 系统 中 客体 O 
的 安全 级 为 Level(O) ,主体 S 的 安全 级 为 Level(S) .当前 的 一 个 系统 状态 表示 为 State,， 
则 MLS 可 以 形式 化 描述 为 : 对 任意 非 可 信 主 体 S, 若 (S,O1,7) Eb,(S,0O;,a) Eb., 则 
Level(O1) 三 Level(O;)。 这 里 的 b 表示 状态 State, 中 的 当前 访问 集合 ,(S,O,x) Eb 表示 
b, 中 允许 主体 S 以 方式 xz 访问 客体 O。BLP 模型 通过 以 下 两 条 安全 属性 实现 了 MLS 
策略 。 

Q@ 简单 安全 属性 : 当 且 仅 当 主体 的 安全 等 级 大 于 等 于 客体 的 安全 等 级 时 , 才 允 许 主体 
对 客体 进行 读 操 作 , 即 如 果 (S,O,r) Eb,, 则 Level(O) 过 Level(S) 。 

@ * -属性 : 当 且 仅 当 主体 的 安全 等 级 小 于 等 于 客体 的 安全 等 级 时 , 才 允 许 主体 对 客体 
进行 写 操 作 , 即 如 果 (S,O,a) Eb,, 则 Level(O) 三 Level(S) 。 

简单 安全 属性 禁止 低 安全 等 级 的 主体 对 高 安全 等 级 的 客体 的 读 访问 ( 即 “ 向 上 读 ”), 而 
x*- 属 性 则 禁止 高 安全 等 级 的 主体 向 低 安全 等 级 的 客体 写 入 信息 ( 即 “ 向 下 写 ”) ,这 两 个 属性 
构成 了 BLP 模型 的 强制 存 取 控 制 策略 。 

尽管 BLP 模型 能 够 很 好 地 防止 信息 的 非 授 权 泄 露 ,保护 信息 的 机 密 性 ,但 它 仍 存 在 一 
些 不 足 : 

Q@ 由 于 “ 盲 写 ” 引 发 的 信息 完整 性 问题 。 

BLP 模型 只 是 为 了 适应 军事 和 政府 部 门 计算 机 系统 的 安全 需要 ,可 以 有 效 地 防止 信息 
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的 非 授权 访问 和 特洛伊 木马 的 攻击 ,但 由 于 不 允许 "向 上 读 ”, 只 能 够 “向 上 写 ”, 即 所 谓 的 “ 盲 
写 ”, 容 易 引 发 信息 的 完整 性 问题 。 

@ BLP 模型 缺乏 对 可 信 主 体 访问 权限 的 限制 。 

Bell 指出 用 * -属性 限制 所 有 主体 的 系统 是 不 实用 的 。 为 了 保障 系统 的 有 效 运 行 ,不 得 
不 存在 一 些 违反 模型 中 * -属性 的 操作 ,例如 ,高 安全 级 的 主体 向 低 安全 级 的 主体 传递 非 密 
级 消息 ,系统 通过 定义 可 绕 过 * -属性 检查 的 可 信和 主体 (Trusted Subject) 来 实现 。 这 一 设计 
导致 可 信和 主体 可 以 绕 过 BLP 模型 的 * -安全 属性 的 限制 ,其 行为 完全 在 BLP 模型 的 控制 之 
外 ,后 来 很 多 人 对 其 进行 了 改进 ,本 质 上 都 是 为 可 信 主 体 设 定 一 个 安全 级 范围 ,从 而 使 可 信 
主体 只 是 部 分 可 信 。 

@ BLP 模型 的 安全 性 依赖 于 安全 平稳 性 规则 , 即 主客 体 的 安全 级 在 整个 生命 周期 中 不 
可 变 。 严 格 执行 平稳 性 原则 在 保障 模型 安全 性 的 同时 ,也 造成 了 对 非 可 信 主 体 的 限制 过 强 ， 
限制 了 BLP 模型 的 实用 性 和 灵活 性 。 

根据 BLP 模型 的 不 足 之 处 ,后 人 提出 了 多 种 改进 BLP 模型 的 方式 与 方法 。 大 体 的 改 
进 思路 分 两 个 方面 : 一 方面 是 从 信息 的 完整 性 角度 改进 ; 另 一 方面 是 通过 一 定 的 强制 规则 
在 保持 模型 安全 性 的 前 提 下 实现 对 主体 安全 级 别 的 动态 调节 ,从 而 能 够 更 好 地 满足 实际 应 
用 的 需求 。 

(2) Chinese Wall 模型 。 

Chinese Wall 模型 主要 解决 商业 中 的 利益 冲突 问题 。 它 假定 系统 数据 按 信 息 个 体 项 、 
数据 集合 利益 冲突 类 的 组 织 形式 存放 ,并 将 这 些 数据 分 为 脱 敏 数据 和 未 脱 敏 数 据 。 

设 COICo) 表 示 包 含 客体 。 的 COI 类 ,CD(o) 表 示 包 含 客体 。 的 数据 集 ,PR(s) 表 示 主 体 
s 曾经 读 取 过 客体 集合 ,并 假设 每 个 客体 只 属于 某 个 COI 类 , 则 Chinese Wall 模型 的 安全 规 
则 如 下 : 

QO 简单 安全 规则 。 

主体 * 可 以 对 客体 o 执行 读 操作 , 当 且 仅 当 以 下 条 件 之 一 成 立 : 

。 存在 一 个 客体 o' EPR(s), 且 CD(o')==CD(o)。 

。 对 于 所 有 客体 o ,oEPR(C) 一 COICo ) 和 关 CD(Co) 。 

。 客体 。 是 脱 敏 的 。 

@ * -特性 。 
主体 * 可 以 对 客体 o 执行 写 操作 , 当 且 仅 当 以 下 条 件 都 成 立 : 

。 简单 安全 规则 允许 ; 对 o 执行 读 操作 。 

。 对 所 有 未 脱 敏 客体 o',s 可 以 读 CD(o')= 二 CD(o)。 

3) 基于 角色 的 访问 控制 (Role-Based Access Control, RBAC) 

RBAC 的 核心 思想 是 引入 角色 的 概念 ,将 操作 权限 直接 授予 角色 而 非 用 户 ,用户 通过 角 
色 身 份 来 获得 相应 的 操作 权限 。 这 种 访问 控制 方法 特别 适合 于 同一 个 职务 由 多 个 成 员 来 担 
任 的 应 用 场合 。 例 如 ,一 个 医院 的 外 科 医 生 、 内 科 医 生 和 儿科 医生 等 都 必须 有 多 个 才能 满足 
大 量 患 者 的 看 病 需 求 。 因 此 ,在 医疗 系统 中 可 以 定义 外 科 医 生 、 内 科 医 生 和 儿科 医生 等 各 种 
角色 ,在 外 科 医 生 中 又 可 细 分 为 普通 外 科 、 胸 外 科 和 脑 外 科 等 ,对 此 ,在 RBAC 中 ,可 用 子 角 
色 的 方式 来 控制 其 权限 。 又 例如 ,在 一 个 大 型 的 办 公 系 统 中 ,由 于 来 往 的 文件 数量 巨大 ,可 
能 需要 有 多 个 文件 收发 员 负 责 对 外 的 文件 收发 工作 ,也 需要 有 多 个 文秘 人 员 负 责 文件 的 处 
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理 , 如 根据 文件 的 来 源 单位 和 内 容 送 给 相关 的 部 门 和 领导 批阅 ,也 需要 有 多 个 档案 管理 人 员 
对 处 理 完 的 文件 进行 归档 保存 ,在 这 种 情形 下 , 便 可 在 系统 中 设置 文件 收发 员 文秘 人 员 和 
归档 人 员 等 各 种 角色 ,赋予 这 些 角色 中 的 成 员 相同 的 操作 权限 。 

基于 角色 的 授权 方法 相对 于 对 单个 用 户 授权 ,大 大 地 简化 了 授权 的 机 制 和 管理 ,在 用 户 
的 工作 职务 发 生变 化 时 ,只 要 转换 他 的 角色 身份 ,而 不 需要 对 其 进行 重新 授权 ; 当 机 构 设置 
发 生变 化 时 ,如 某 个 部 门 撤销 、 某 些 部 门 合并 等 ,也 可 以 不 修改 应 用 程序 ,而 只 要 修改 角色 与 
用 户 、 角 色 与 操作 权限 之 间 的 配置 关系 即 可 。 

在 基于 角色 的 访问 控制 系统 中 , 当 用 户 初 次 进入 系统 时 ,系统 根据 用 户 的 职务 (或 工作 
职责 ) 为 其 分 配 相应 的 角色 ,从 而 让 其 取得 这 些 角色 的 访问 权限 。 但 在 系统 运行 的 过 程 中 ， 
用 户 可 能 需要 从 一 个 角色 转换 成 男 一 个 角色 。 例 如 ,职务 升迁 或 工作 调动 ; 也 可 能 在 某 些 
情况 下 ,用 户 需 要 将 自己 的 工作 委托 给 另 一 个 用 户 来 完成 ,例如 出 差 、 生 病 等 。 系 统 可 用 授 
权 机 制 来 满足 这 类 需求 。 

这 里 的 “授权 ”是 指 拥 有 某 角色 的 用 户 将 该 角色 的 成 员 资 格 授予 其 他 用 户 。 根 据 实际 需 
要 ,授权 可 以 采取 各 种 方式 ,下 面 列 出 了 授权 的 几 种 特征 。 

(1) 永久 性 : 指 授 权 有 效 期 的 长 短 ,分 为 永久 授权 和 和 暂时 授权 两 种 类 型 。 永 久 性 授权 
是 指 被 授权 用 户 永 久 地 取得 了 被 授予 的 角色 成 员 资格 。 暂 时 授权 是 指 被 授权 用 户 只 在 一 段 
时 间 内 得 到 被 授予 的 角色 成 员 资格 ,一 旦 有 效 期 结束 ,这 种 授权 也 就 被 回收 。 

(2) 同一 性 : 指 授权 者 授权 后 ,自身 是 否 还 拥有 角色 的 成 员 资格 。 同 一 性 授权 后 ,授权 
用 户 仍 拥有 原 角 色 的 成 员 资格 。 非 同一 性 授权 后 ,授权 用 户 丧 失 了 原 角色 的 成 员 资格 ,直到 
授权 回收 ,再 重 获 原 角 色 的 所 有 权限 。 

(3) 全 部 性 : 指 是 否 授予 角色 的 全 部 权限 。 全 部 性 授权 的 授权 用 户 将 角色 的 所 有 权限 
授予 被 授权 用 户 。 在 这 种 情形 下 ,角色 的 成 员 用 户 可 分 为 两 类 : 原始 成 员 和 被 授权 成 员 。 
前 者 是 系统 安全 员 最 初 分 配 到 角色 中 的 成 员 ,后 者 是 由 该 角色 中 的 成 员 通 过 其 授权 分 配 到 
角色 中 的 成 员 。 部 分 授权 的 被 授权 用 户 只 被 授予 角色 的 部 分 权限 。 

(4) 执行 性 : 指 授权 由 谁 执行 。 自 主 执行 是 由 授权 者 本 人 执行 ,代理 执行 是 授权 者 向 
第 三 方 ( 某 个 代理 ) 提 出 请 求 , 让 其 完成 自己 的 授权 ,但 代理 者 不 能 给 自己 授权 。 

(5) 传递 性 : 指 被 授权 用 户 能 否 将 角色 成 员 资 格 转 授 出 去 。 单 步 授权 时 被 授权 者 不 能 
将 得 到 的 角色 再 转 授 给 其 他 用 户 , 这 意味 着 角色 中 的 被 授权 成 员 无 权 将 该 角色 的 权限 转 授 
出 去 。 多 步 授权 的 角色 成 员 资格 可 以 像 接 力 棒 一 样 , 被 传 来 传 去 。 

(6) 多 重 性 : 指 授权 者 在 同一 时 刻 可 以 对 多 个 用 户 授权 。 

(7) 协议 性 : 指 授权 是 否 要 征 得 被 授权 者 同意 。 确 认 协 议 授 权 必须 有 双方 都 认可 的 协 
议 , 以 确保 授权 方 与 被 授权 方 都 同意 此 次 授权 。 非 确认 授权 不 需要 被 授权 者 的 认可 ,一 旦 授 
权 者 发 出 授权 ,被 授权 者 必须 接受 。 

关于 授权 回收 可 以 有 以 下 几 种 策略 。 

。 基于 支撑 角色 的 回收 : 若 某 个 用 户 是 在 角色 A 的 背景 下 ,取得 了 角色 B 的 授权 , 则 

当 角色 A 的 授权 被 回收 后 ,角色 B 的 授权 也 被 回收 。 

。 基于 发 起 角色 的 回收 : 若 用 户 甲 对 用 户 乙 进行 了 某 角色 的 授权 , 当 用 户 甲 的 角色 被 

回收 之 后 ,用 户 乙 也 不 能 拥有 该 角色 。 
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。 授权 者 有 关 回 收 : 只 有 授 出 权限 的 用 户 才 能 回收 他 所 授 出 的 权限 ,角色 中 的 任何 其 
他 成 员 均 无 权 回收 。 

上 述 授 权 机 制 体现 了 用 户 的 自主 性 , 它 与 传统 的 自主 访问 控制 相 比 ,其 授权 不 是 基于 权 
限 而 是 基于 角色 ,所 以 简化 了 系统 对 授权 的 管理 ,也 更 适合 于 实际 系统 的 应 用 需求 。 

在 大 型 系统 中 ,角色 数 可 能 是 成 百 上 千 , 而 用 户 数 则 可 能 是 成 千 上 万 ,对 这 些 角 色 和 用 
户 的 管理 是 一 项 非常 复杂 的 工作 , 它 不 可 能 由 一 个 系统 安全 员 去 完成 。 下 放 RBAC 的 管理 
权 , 而 又 不 失 广 义 上 的 集中 式 控制 的 ARBAC97 模型 ,给 出 了 如 何 基于 RBAC 来 实现 对 角 
色 和 用 户 的 管理 。 

由 前 面 的 介绍 可 以 看 出 , RBAC 是 中 性 的 策略 。 它 实际 上 是 提供 了 一 种 描述 安全 策略 
的 方法 或 框架 。 通 过 对 RBAC 各 个 部 件 的 配置 ,以 及 不 同 配件 之 间 进 行 交互 的 方式 ,可 以 
在 很 大 的 范围 内 实现 所 需要 的 安全 策略 。 

例如 ,通过 基于 角色 的 授权 方式 可 以 实现 自主 访问 控制 ,而 且 比 传统 的 自主 访问 控制 更 
为 灵活 和 方便 。 通 过 角色 一 用 户 的 配置 及 角色 一 权限 的 配置 可 以 实现 系统 所 需要 的 各 种 强 
制 访问 控制 策略 。 若 采用 RBACI 模型 建立 角色 层次 关系 , 则 可 实现 多 级 安全 的 控制 策略 。 
RBAC2 的 约束 机 制 为 实现 强制 访问 控制 提供 了 更 为 丰富 的 手段 。 在 RBAC 的 角色 一 用 户 
配置 中 最 极端 的 情形 是 ,一 个 角色 仅 具 有 一 个 用 户 , 这 时 便 可 等 同 地 实现 传统 的 自主 访问 控 
制 和 多 级 安全 控制 策略 。 

为 适应 系统 需求 的 变化 而 改变 策略 的 能 力也 是 RBAC 的 一 个 重要 的 优点 。 当 应 用 系 
统 增 加 新 的 应 用 或 新 的 子 系统 时 ,RBAC 可 以 赋予 角色 新 的 访问 权限 ,可 以 为 用 户 重新 分 配 
一 个 新 的 角色 ,同时 也 可 以 根据 需要 回收 用 户 的 角色 身份 或 回收 角色 的 权限 。 

RBAC 支持 以 下 3 条 安全 原则 : 

(1) 最 小 特权 原则 。 

RBAC 可 以 使 分 配给 角色 的 权限 不 超过 具有 该 角色 身份 的 用 户 完成 其 工作 任务 所 必需 
的 权限 。 用 户 访问 某 资源 时 ,如 果 其 操作 不 在 用 户 当前 被 激活 角色 的 授权 范围 之 内 , 则 访问 
将 被 拒绝 。 

(2) 职责 分 散 原则 。 

RBAC 可 以 对 互 斥 角色 的 用 户 进行 限制 ,使 得 没有 一 个 用 户 同 时 是 互 斥 角色 中 的 成 员 ， 
并 通过 激活 相互 制约 的 角色 共同 完成 一 些 机 密 的 任务 ,以 减少 完成 任务 过 程 中 的 欺诈 行为 。 

(3) 数据 抽象 原则 。 

在 RBAC 中 不 仅 可 以 将 访问 权限 定义 为 操作 系统 (或 数据 库 ) 中 的 读 或 写 ,也 可 以 在 应 
用 层 上 定义 权限 ,如 存款 和 贷款 等 抽象 权限 。 支 持 数据 抽象 的 程度 将 由 实施 细节 决定 。 

RBAC 引入 了 角色 的 概念 ,通过 角色 与 用 户 、 角 色 与 权限 的 配置 为 系统 实现 其 安全 控制 
提供 了 灵活 且 强 有 力 的 保护 。 这 种 保护 可 适用 于 多 种 不 同 的 安全 需求 ,而 不 仅 限于 多 级 安 
全 。 在 计算 机 应 用 日 益 广泛 ,各 种 应 用 的 安全 需求 呈现 多 样 化 的 形势 下 ,特别 是 对 于 金融 、 
商业 和 大 型 企业 的 安全 控制 ,RBAC 提供 了 一 种 理想 和 实用 的 模式 ,因此 ,RBAC96 模型 秘 
提出 后 , 便 受到 信息 安全 特别 是 访问 控制 专家 的 广泛 关注 和 热烈 讨论 ,并 进一步 探讨 了 
RBAC 在 多 域 访问 控制 中 的 应 用 。 

2. 信息 流 模型 

信息 流 模型 主要 着 眼 于 对 客体 之 间 的 信息 传输 过 程 的 控制 ,通过 对 信息 流向 的 分 析 可 
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以 发 现 系统 中 存在 的 隐蔽 通道 ,并 设法 予以 堵塞 。 信 息 流 是 信息 根据 某 种 因果 关系 (例如 函 
数 ) 的 流动 ,信息 流 总 是 从 旧 状 态 的 变量 流向 新 状态 的 变量 。 信 息 流 模型 的 出 发 点 是 彻底 切 
断 系统 中 信息 流 的 隐蔽 通道 ,防止 对 信息 的 窃取 。 隐 项 通道 就 是 指 系统 中 非 正常 使 用 的 .不 
受 强 制 访问 控制 正规 保护 的 通信 方式 (例如 存储 信道 和 定时 信道 )。 隐 蔽 通道 的 存在 显然 危 
及 到 系统 敏感 信息 的 保护 。 

信息 流 模型 需要 遵守 的 安全 规则 是 : 在 系统 状态 转换 时 ,信息 流 只 能 从 访问 级 别 低 的 
状态 流向 访问 级 别 高 的 状态 。 信 息 流 模 型 实现 的 关键 在 于 对 系统 的 描述 , 即 对 模型 进行 彻 
底 的 信息 流 分 析 , 找 出 所 有 的 信息 流 , 并 根据 信息 流 安全 规则 判断 其 是 否 为 异常 流 。 若 是 就 
反复 修改 系统 的 描述 或 模型 ,直到 所 有 的 信息 流 都 不 是 异常 流 为 止 。 

信息 流 模型 是 一 种 基于 事件 或 踪迹 的 模型 ,其 焦点 是 系统 用 户 可 见 的 行为 。 在 信息 流 
安全 系统 中 ,对 于 信息 流 安全 来 说 这 是 一 种 可 以 俘获 所 希望 俘获 的 信息 的 直观 方法 。 现 有 
可 用 的 信息 流 模 型 定义 了 什么 是 所 期 望 的 外 部 可 见 行为 ,但 并 没有 直接 指出 哪 种 内 部 信息 
流 是 被 允许 的 以 及 哪 种 是 不 被 允许 的 。 尽 管 信息 流 模 型 对 安全 系统 有 一 个 简单 而 且 漂 亮 的 
定义 ,但 是 ,安全 性 的 输入 输出 规范 对 于 在 实际 系统 中 的 实现 和 验证 并 没有 太 大 的 帮助 和 指 
导 , 所 以 正如 John McLean 曾经 指出 的 那样 ,这 些 把 焦点 放 在 系统 用 户 的 可 见 行为 上 的 安 
全 模型 不 能 对 内 部 具有 因果 限制 关系 的 保密 性 要 求 进 行 很 好 的 建 模 。 尽 管 对 于 这 种 内 部 的 
保密 性 要 求 ,已 经 有 人 提出 了 另 一 种 基于 计算 状态 的 形式 化 模型 ,它们 对 信息 流 中 的 内 部 限 
制 提供 了 更 好 的 理解 ,但 是 迄今 为 止 ,信息 流 模型 对 具体 的 实现 只 能 提供 较 少 的 帮助 和 
指导 。 

根据 图 3. 1 ,保障 信息 系统 完整 性 的 模型 有 两 种 : Biba 模型 和 Clark-Wilson 模型 。 

1) Biba 模型 

Biba 模型 是 人 们 在 研究 BLP 模型 的 特性 时 发 现 的 ,BLP 模型 实现 了 信息 的 保密 性 ,但 
在 信息 完整 性 方面 存在 一 些 缺陷 ,没有 采取 有 效 的 措施 来 制约 用 户 对 信息 的 非 授 权 修改 , 因 
此 使 非法 ,越权 算 改 成 为 可 能 。 考 虑 到 上 述 因 素 ,Biba 模型 模仿 BLP 模型 的 信息 保密 性 级 
别 ,定义 了 信息 完整 性 级 别 , 用 户 只 能 向 比 自己 安全 级 别 低 的 客体 写 入 信息 ,从 而 防止 非法 
用 户 创建 安全 级 别 高 的 客体 信息 ,避免 越权 、 自 改 等 行为 的 发 生 。 

Biba 模型 禁止 “向 上 写 ”, 完 整 性 级 别 高 的 文件 只 能 由 完整 性 高 的 进程 创建 ,从 而 保证 
完整 性 级 别 高 的 文件 不 会 被 级 别 低 的 文件 所 覆盖 。Biba 模型 没有 “向 下 读 ”。 

Biba 模型 的 偏 序 关 系 可 以 表示 为 : 

(1) ru, 当 且 仅 当 SC(s) 志 SC(o) ,人 允许 读 操作 。 

(2) wd, 当 且 仅 当 SC(s) 宇 SC(o) ,允许 写 操作 。 

Biba 模型 是 和 BLP 模型 相对 立 的 模型 ,Biba 模型 改正 了 被 BLP 模型 所 忽略 的 信息 完 
整 性 问题 ,但 在 一 定 程度 上 却 忽 视 了 保密 性 。 

在 Biba 模型 中 各 个 元 素 的 数学 定义 如 下 : 

5 一 一 主体 ; 的 集合 ,系统 中 主动 的 信息 处 理 元 素 。 

O 一 一 客体 。 的 集合 ,系统 中 被 动 的 信息 储存 元 素 。 

S 与 O 的 交集 为 空 集 。 

1 一 一 完整 性 级 别 的 集合 。 

11 一 一 SXO=>1, 定 义 每 一 个 主体 和 客体 完整 性 级 别 的 函数 ,定义 在 关系 leq 下 的 一 个 
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网 格 。 
leq 一 一 定义 在 完整 性 级 别 工 集合 中 的 “小 于 等 于 ”关系 (TXT 的 子 集 ) 。 
min 一 一 POWERSET(7)=>1, 返 回 了 的 子 集 的 最 大 低 限 的 函数 。 
定义 主体 能 力 的 关系 (SXO 的 子 集 ),S 的 元 素 * 观察 一 个 客体 o: so o。 
定义 主体 能 力 的 关系 (SXO 的 子 集 ),S 的 元 素 ; 修改 一 个 客体 o: sm o。 
定义 主体 能 力 的 关系 (SXO 的 子 集 ),S 的 元 素 s; 调用 另 一 个 主体 S 的 元 素 2: 


0. 


m 


子 系统 是 一 个 系统 的 主体 和 客体 可 能 基于 功能 或 权限 被 隔离 的 子 集 ,一 个 计算 机 系统 
可 以 定义 为 由 一 个 以 上 的 子 系统 所 组 成 。 在 Biba 模型 中 ,将 完整 性 威胁 分 为 来 源 于 子 系统 
内 部 或 外 部 两 种 。 如 果子 系统 的 一 个 组 件 是 恶意 的 或 不 正确 的 , 则 将 产生 内 部 威胁 ; 如 果 
一 个 子 系统 企图 通过 提供 错误 数据 或 不 正确 调用 函数 来 修改 另 一 个 子 系统 , 则 将 产生 外 部 
威胁 。 由 于 内 部 威胁 可 以 通过 程序 测试 或 检验 来 有 效 解决 ,所 以 Biba 模型 仅仅 针对 外 部 
威胁 。 

Biba 模型 支持 5 种 不 同 的 完整 性 策略 , 即 最 低 点 策略 、 针 对 客体 的 最 低 点 策略 、 最 低 点 
完整 性 审计 策略 .Ring 策略 和 严格 的 完整 性 策略 。 

(1) 最 低 点 (Low-Water Mark) 策 略 。 

在 该 策略 中 ,一 个 主体 的 完整 性 级 别 不 是 静态 的 ,而 是 一 个 以 以 往 行为 为 依据 的 函数 。 
策略 对 每 个 主体 提供 il(s) 的 动态 的 .单一 的 且 不 增长 的 值 。 在 任何 时 刻 ,il(s) 的 值 都 反映 
了 主体 以 往 行为 的 最 低 点 ,最 低 点 是 被 主体 当 作 “观察 "访问 的 客体 的 最 小 完整 性 级 别 , 可 以 
用 以 下 公理 描述 。 

对 于 S 的 所 有 s 元 素 和 0O 的 所 有 。 元 素 : 

sm o>il(0) leq il(s) 

对 于 S 的 所 有 si 和 $s 元 素 : 

s1 1 s2>i]l(ss) leq il(s1) 

对 于 主体 ; 对 客体 o 的 每 一 次 观察 访问 : 

让 (*) = min{il(s) ,il(0)} 

(2) 针对 客体 的 最 低 点 策略 。 

针对 客体 的 最 低 点 策略 除了 修改 主体 的 完整 性 级 别 外 ,还 假设 客体 的 完整 性 级 别 也 被 
修改 。 可 以 用 下 列 规则 来 说 明 。 

对 于 一 个 主体 * 对 一 个 客体 o 的 每 一 次 观察 访问 : 

让 (s) = min{il(s) ,il(o)} 

对 于 一 个 主体 ; 对 一 个 客体 o 的 每 一 次 修改 访问 : 

让 (o) = minfil(s) ,il(o)} 

(3) 最 低 点 完整 性 审计 策略 。 

审计 策略 是 对 于 客体 的 最 低 点 策略 的 非 强制 性 的 变化 , 它 对 较 低 完整 性 级 别 的 信息 对 
数据 的 可 能 损坏 提供 度量 。 

可 以 用 下 列 方法 来 定义 主体 和 客体 的 “当前 损坏 程度 (Current Corruption Level,cl)”。 

对 于 一 个 主体 * 对 一 个 客体 o 的 每 一 次 观察 访问 : 


cl(s) = min{cl(s) ,cl(0)} 
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对 于 一 个 主体 * 对 一 个 客体 o 的 每 一 次 修改 访问 : 
cl (0) = min{cl(s) ,cl(0)} 
对 于 一 个 客体 而 言 ,cl 的 值 表 示 可 以 被 用 来 修改 客体 的 信息 的 最 小 完整 性 级 别 。 
(4) Ring 策略 。 
Ring 策略 为 直接 修改 提供 保护 策略 。 主 体 和 客体 的 完整 性 级 别 在 其 生命 周期 中 是 固 


定 的 ,而 且 只 允许 小 于 等 于 客体 完整 性 级 别 的 修改 。 系 统 的 灵活 性 通过 允许 在 任何 完整 性 
级 别 上 对 客体 的 观察 而 显著 增强 。 


用 


该 策略 由 以 下 两 条 公理 定义 。 
对 于 S 的 所 有 s 元 素 和 0O 的 所 有 。 元 素 : 
sm o>il(o) leq il(s) 
对 于 S 的 所 有 xs: 和 ss 元 素 : 
s1 is2>il(s:) leq il(s1) 

(5) 严格 完整 性 策略 。 

该 策略 由 3 部 分 组 成 : 简单 完整 性 条 件 、 完 整 性 x -属性 和 调用 属性 。 

@ 简单 完整 性 条 件 。 

规定 一 个 主体 不 能 观察 具有 和 较 低 完整 性 级 别 的 客体 ,用 数学 方法 表示 如 下 。 

对 于 S 的 所 有 元 素 和 O 的 所 有 o 元 素 : 

so 0>il(s) leq il(o) 

该 规则 限制 了 客体 (数据 或 程序 ) 对 那些 非 恶 意 字 符 ( 取 决 于 它们 的 完整 性 级 别 ) 的 使 

。Biba 模型 认为 “执行 ”访问 等 于 “观察 "访问 ,所 以 客体 的 完整 性 级 别 必 须 大 于 等 于 发 出 


“执行 ”请求 的 主体 。 


信 


@ 完整 性 * -属性 。 
规定 一 个 主体 不 能 修改 具有 较 高 完整 性 级 别 的 客体 ,用 数学 方法 表示 如 下 。 
对 于 S 的 所 有 元 素 和 O 的 所 有 。 元 素 : 
sm 0 一 il(o) leq il(s) 
该 规则 保证 了 客体 不 能 被 权限 不 足 的 主体 直接 修改 。 
@ 调用 属性 。 
规定 一 个 主体 不 能 向 具有 较 高 完整 性 级 别 的 主体 发 送信 息 。 用 数学 方法 可 描述 为 接收 


息 的 主体 的 完整 性 级 别 必须 小 于 等 于 发 送信 息 的 主体 的 完整 性 级 别 。 


对 于 S 的 所 有 s! 和 52 元 素 : 
s11s2>il(ss) leq il(s1) 


调用 是 从 一 个 主体 到 另 一 个 主体 的 逻辑 请 求 服务 。 由 于 被 调用 主体 的 控制 状态 是 主体 


被 调用 事实 的 函数 ,调用 是 修改 的 一 个 特例 ,所 以 ,该 规则 直接 跟随 完整 性 x- 属性。 


Biba 模型 定义 的 完整 性 只 是 一 个 相对 的 而 不 是 绝对 的 度量 。 依 据 该 定义 ,一 个 子 系统 


拥有 完整 性 属性 的 条 件 是 它 可 被 信任 并 附着 一 个 定义 明确 的 行为 代码 。 没 有 一 个 关于 该 行 


为 


属性 的 描述 语句 来 决定 子 系统 是 否 拥有 完整 性 ,所 以 需要 子 系统 附着 行为 代码 。 
对 于 Biba 模型 而 言 ,计算 机 系统 完整 性 的 目的 是 确保 子 系统 完成 设计 者 预期 的 目标 。 


但 现实 的 情况 是 ,设计 者 是 否 采用 了 可 以 达到 完整 性 的 设计 方法 。 


Biba 模型 用 一 个 结构 化 网 格 来 表示 授权 用 户 和 提供 用 户 类 型 级 别 的 划分 。 这 些 属性 
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可 以 防止 非 授权 用 户 的 修改 。 

到 目前 为 止 ,在 所 有 Biba 模型 的 策略 中 ,使 用 最 广 的 是 严格 完整 性 策略 。 该 策略 的 缺 
点 是 不 能 分 配 适 当 的 完整 性 标志 。BLP 模型 能 很 好 地 满足 政府 和 军事 机 构 关于 信息 分 级 
的 需求 ,Biba 模型 却 没有 决定 完整 性 级 别 和 类 别 的 相应 标准 。 

2) Clark-Wilson 模型 

(1) 模型 的 定义 。 

Clark-Wilson 完整 性 策略 模型 是 由 克拉 克 (D. D. Clark) 和 威尔逊 (D. R. Wilson) 提出 
的 保护 数据 完整 性 的 访问 控制 策略 ,简称 C-W 模型 。C-W 模型 是 一 个 面向 事务 
(Transaction) 的 模型 ,事务 是 操作 的 集合 ,一 个 事务 由 一 组 操作 构成 。 事 务 作 用 在 数据 上 ， 
该 模型 的 出 发 点 是 确保 数据 和 事务 的 完整 性 。 

定义 1 如 果 一 个 事务 使 系统 从 一 个 有 效 状 态 转换 到 另 一 个 有 效 状 态 , 则 这 样 的 事务 
称 为 良 构 事务 (Well-formed Transaction) 。 

C-W 模型 针对 事务 在 数据 上 的 作用 建立 完整 性 控制 的 体系 架构 , 它 把 系统 中 的 所 有 事 
务 划 分 为 两 大 类 : 约束 数据 项 和 非 约 束 数据 项 。 

定义 2 在 一 个 系统 中 ,处 于 完整 性 模型 的 控制 范围 之 内 的 数据 项 称 为 约束 数据 项 
(Constrained Data Item,CDI) ,处 于 完整 性 模型 的 控制 范围 之 外 的 数据 项 称 为 非 约 束 数据 
项 (Unconstrained Data Item, UD]) 。 

C-W 模型 把 所 有 CDI 都 满足 完整 性 策略 要 求 时 的 系统 状态 定义 为 有 效 状 态 , 与 状态 相 
关 ,C-W 模型 定义 了 两 类 事务 : 完整 性 验证 过 程 和 转换 过 程 。 

定义 3 在 C-W 模型 中 ,用 于 验证 系统 是 否 处 于 有 效 状态 的 事务 称 为 完整 性 验证 过 程 
(Integrity Verification Procedure,IVP) ,用 于 使 系统 从 一 个 有 效 状 态 转换 到 另 一 个 有 效 状 
态 的 事务 称 为 转换 过 程 (Transformation Procedure,TP) 。 

根据 有 效 状态 的 定义 ,在 有 效 状 态 下 ,CDI 的 完整 性 是 有 保障 的 ,要 确保 CDI 的 完整 性 
就 是 要 确保 系统 处 于 有 效 状态 。 

C-W 模型 实现 完整 性 控制 的 基本 思想 是 : 假设 系统 在 某 个 初始 时 刻 处 于 有 效 状 态 ,在 
系统 运行 过 程 中 ,模型 确保 只 有 TP 能 够 对 CDI 进行 操作 ,进而 确保 只 有 TP 能 够 改变 系统 
的 状态 。 

由 于 C-W 模型 要 实现 的 TP 是 良 构 事 务 ,所 以 系统 在 运行 过 程 中 总 是 处 于 有 效 状态 ， 
因而 系统 的 完整 性 可 以 得 到 保障 。 

(2) 模型 的 规则 。 

系统 可 以 实现 TP, 也 可 以 确保 只 有 TP 能够 对 CDI 进行 操作 ,但 系统 本 身 无 法 确保 TP 
是 良 构 事 务 。 

C-W 模型 采取 两 类 措施 实现 系统 的 完整 性 : 一 类 是 由 系统 实施 的 措施 ; 另 一 类 是 证 明 
系统 实施 有 效 性 的 措施 。 与 此 相对 应 ,C-W 模型 定义 两 类 规则 : 实施 规则 和 证 明 规则 。 

定义 4 在 C-W 模 型 中 ,由 系统 实施 的 规则 称 为 实施 (Enforcement) 规 则 , 简 记 正规 
则 ; 用 于 证 明 系统 实施 规则 有 效 性 的 规则 称 为 证 明 (Certification) 规 则 , 简 记 C 规则 。 

以 下 规则 构成 了 C-W 模型 的 基础 框架 , 它 确保 CDI 的 内 部 一 致 性 。 

规则 Cl IVP 必须 验证 所 有 的 CDI 在 IVP 运行 时 刻 都 处 于 有 效 状态 。 

规则 C2 ”必须 验证 所 有 的 TP 都 是 有 效 的 , 即 它们 必须 把 处 于 一 个 有 效 状态 中 的 CDI 
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转换 到 另 一 个 有 效 状 态 。 安 全 管理 员 必 须 为 每 一 个 TP 及 其 所 能 操作 的 CDI 集合 定义 对 应 
关系 ,对 应 关系 的 格式 是 (TPi, (CDL ,CDE ,CDI.,…)), 这 个 关系 表 列 出 了 给 定 的 TP 可 以 
操作 的 所 有 CDI。 

规则 E1 系统 必须 维护 规则 C2 中 描述 的 关系 表 , 对 于 任意 的 CDI, 系 统 必须 确定 只 有 
关系 表 中 列 出 的 对 应 TP 才能 对 该 CDI 进行 操作 。 

以 下 规则 对 C-W 模型 的 基础 框架 进行 拓展 ,以 支持 职责 分 离 原则 。 

规则 E2 ”系统 必须 维护 一 个 确定 用 户 、TP 和 CDI 集合 之 间 关 系 的 关系 表 , 关 系 的 格 
式 为 (UserID,TP;,(CDL ,CDL,CDI,…)), 其 中 ,UserID 是 用 户 标识 。 系 统 必 须 确保 只 有 
某 个 关系 中 指定 的 用 户 才能 执行 指定 的 TP 对 指定 的 CDI 进行 操作 。 

规则 C3 ”必须 证 明 规则 E2 中 的 关系 表 满 足 职 责 分 离 要 求 。 

以 下 规则 实现 用 户 身份 认证 ,以 支持 规则 E2 中 要 用 到 的 用 户 标识 。 

规则 E3 系统 必须 认证 试图 执行 TP 的 每 个 用 户 的 身份 。 

几乎 所 有 实施 完整 性 的 系统 都 要 求 对 所 有 TP 的 执行 进行 审计 ,提供 审计 记录 。 审 计 
记录 是 特定 形式 的 CDI, 以 下 规则 提供 审计 支持 。 

规则 C4 必须 证 明 所 有 的 TP 都 向 一 个 只 能 以 附加 方式 写 的 CDI 写 入 足够 的 信息 ,以 
便 能 够 重 现 TP 的 操作 过 程 。 

系统 中 除了 包含 CDI 以 外 ,也 包含 UDI, 从 系统 外 部 进入 到 系统 中 的 新 信息 就 属 对 
UDI, 如 用 户 从 键盘 上 输入 的 新 信息 。 以 下 规则 说 明 对 UDI 的 处 理 方法 。 

规则 C5 ”必须 证 明 接 收 UDI 输 入 的 TP 对 UDI 的 任何 可 能 取 值 ,要 么 只 进行 有 效 转 
换 ,要 么 不 进行 转换 。 即 TP 把 输入 的 UDI 转换 为 CDI 或 者 拒绝 相应 的 UDI 输入。 在 典 
型 情况 下 ,这 样 的 TP 是 编辑 程序 。 

为 了 确保 C-W 模型 的 有 效 性 ,不 能 忽略 任何 一 个 证 明 规则 。 例 如 ,用 户 不 能 创建 并 且 
运行 一 个 没有 经 过 证 明 的 新 的 TP ,否则 系统 就 达 不 到 它 的 有 效 性 目的 。 为 此 ,系统 需要 以 
下 规则 加 以 约束 。 

规则 E4 只 有 有 权 对 实体 (如 TP) 进行 证 明 的 主体 才能 修改 这 些 实体 与 其 他 实体 (如 
CDD 之 间 的 关系 表 。 有 权 对 某 个 实体 (如 TP 或 CDD) 进 行 证 明 的 主体 不 能 拥有 与 该 实体 相 
关 的 执行 权 。 

修改 实体 的 关系 表 就 是 修改 实体 的 访问 控制 配置 属性 ,假设 某 实体 的 属 主 有 权 修 改 实 
体 的 关系 表 , 那 么 ,根据 规则 E4 ,该 实体 的 属 主 不 能 拥有 与 该 实体 相关 的 执行 权 , 但 是 ,实际 
上 ,一 个 实体 的 属 主 是 拥有 与 该 实体 相关 的 执行 权 的 ,这 样 便 产生 了 了 矛盾 ,所 以 ,假设 不 能 成 
立 , 即 一 个 实体 的 属 主 不 能 修改 该 实体 的 访问 控制 配置 属性 ,因此 ,规则 E4 确定 了 C-W 模 
型 不 是 一 个 自主 访问 控制 模型 , 它 是 一 个 强制 访问 控制 模型 。 

(3) 模型 的 概括 。 

Clark-Wilson 模型 定义 了 Cl 一 C5 5 个 证 明 规则 和 El1 一 E4 4 个 实施 规则 ,这 9 个 规则 
共同 定义 一 个 实施 一 致 的 完整 性 策略 的 系统 。 由 这 9 个 规则 构成 的 C-W 模型 可 以 用 图 3. 2 
进行 概括 。 

C-W 模型 从 良 构 事 务 和 职责 分 离 两 个 方面 构造 完整 性 控制 框架 , 它 把 系统 中 的 数据 项 
划分 为 约束 数据 项 和 非 约束 数据 项 两 大 类 ,通过 转换 过 程 和 完整 性 验证 过 程 定义 系统 的 行 
为 ,依靠 证 明 规则 和 实施 规则 实现 对 系统 行为 的 约束 ,进而 支持 一 致 的 完整 性 控制 策略 。 


dl 
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用 户 


可 1 

SIVP 验 证 CD 芭 | 一 一 C3: 恰当 的 职责 分 离 ) 
1 

| (C5: TP 验证 UDI \ i 

C2: TP 维 持 有 效 状态 vl 
1 


1 

1 
1 
上 


E4: 只 有 安全 管理 员 才 


能 修改 授权 表 


F 某 状态 ( El: 只 有 授权 的 TP 才能 修改 CDI ” ) 


3.2 Clark-Wilson 模型 的 系统 完整 性 规则 


3.3.2 安全 规划 方法 


在 开展 信息 系统 的 安全 建设 之 前 ,需要 在 安全 专家 的 指导 和 帮助 下 ,首先 对 信息 系统 的 
基本 情况 和 安全 风险 进行 科学 全 面 的 评估 ,从 而 更 为 准确 、 全 面 地 了 解 信息 系统 的 安全 需 
求 ,以 此 为 参考 为 客户 进行 总 体 规划 和 详细 安全 方案 设计 ,提供 最 恰当 的 安全 控制 措施 及 安 
全 管理 策略 来 降低 安全 风险 ,最 终 帮 助 客户 实现 真正 意义 上 的 全 网 安全 。 

信息 系统 是 一 个 复杂 的 巨 系 统 , 信 息 系统 的 安全 建设 是 一 个 系统 工程 ,因此 从 系统 的 安 
全 风险 评估 ,安全 需求 分 析 , 到 安全 总 体 规划 ,详细 安 全 设计 ,再 到 安全 产品 选择 与 安全 集成 
以 及 安全 管理 策略 的 制定 都 要 参照 系统 工程 学 的 方法 和 思路 。 

信息 系统 安全 规划 依托 企业 信息 化 战略 规划 ,对 信息 化 战略 的 实施 起 到 保驾 护航 的 作 
用 。 信 息 系统 安全 规划 的 目标 与 企业 信息 化 的 目标 是 一 致 的 ,而 且 应 该 比 企 业 信息 化 的 目 
标 更 具体 明确 、 更 贴近 安全 需求 。 信 息 系统 安全 规划 的 一 切 论述 都 要 围绕 着 这 个 目标 展开 
和 部 署 。 

信息 系统 安全 规划 的 方法 和 侧重 点 均 可 以 有 所 区 别 , 但 是 需要 围绕 技术 安全 ,管理 安全 
以 及 组 织 安 全 进行 全 面 的 考虑 。 规 划 的 内 容 应 该 包括 : 确定 信息 系统 安全 的 任务 、 目 标 , 战 
略 以 及 战略 部 门 和 战略 人 员 ,并 在 此 基础 上 制定 出 物理 安全 、 网 络 安全 、 系 统 安全 ,运营 安 全 
和 人 员 安 全 的 信息 系统 安全 的 总 体 规划 。 其 中 ,物理 安全 包括 环境 设备 安全 、 信 息 设备 安 
全 ,网 络 设备 安全 以 及 信息 资产 设备 的 物理 分 布 安全 等 ; 网 络 安全 包括 网 络 拓扑 结构 安全 、 
网 络 的 物理 线路 安全 、 网 络 访问 安全 (防火 墙 `, 人 侵 检测 系统 `VPN 等 ) 等 ; 系统 安全 包括 操 
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作 系 统 安全 、 应 用 软件 安全 以 及 应 用 策略 安全 等 ; 运营 安全 应 在 控制 层面 和 管理 层面 保障 ， 
包括 备份 与 恢复 系统 安全 、 入 侵 检 测 功能 、 加 密 认证 功能 、 漏 洞 检查 及 系统 补丁 功能 口令 管 
理 等 ,人 员 安 全 包括 安全 管理 的 组 织 机 构 、 人 员 安 全 教育 与 意识 机 制 、 人 员 招 聘 及 离职 管 
理 \ 第 三 方 人 员 安 全 管理 等 。 

信息 系统 安全 规划 的 最 终 效果 应 该 体现 在 对 信息 系统 与 信息 资源 的 安全 保护 上 ,因此 
规划 工作 要 围绕 着 信息 系统 与 信息 资源 的 开发 .利用 和 保护 工作 进行 ,并 且 包 括 蓝 图 、 现 状 、 
需求 及 措施 4 个 方面 。 首 先 ,对 信息 系统 与 信息 资源 的 规划 需要 从 信息 化 建设 的 蓝图 入 手 ， 
明确 企业 信息 化 发 展 策略 的 总 体 目 标 和 各 阶段 的 实施 目标 ,制定 出 信息 系统 安全 的 发 展 目 
标 ; 第 二 ,对 企业 的 信息 化 工作 现状 进行 整体 ,综合 、 全 面 的 分 析 , 找 出 过 去 工作 中 的 优势 与 
不 足 ; 第 三 ,根据 信息 化 建设 的 目标 提出 未 来 几 年 的 需求 ,这 个 需求 最 好 可 以 分 解 成 若干 个 
小 的 方面 ,以 便于 今后 的 落实 与 实施 ; 第 四 ,明确 实施 工作 阶段 的 具体 措施 与 方法 ,提高 规 
划 工 作 的 执行 力度 。 

信息 系统 安全 规划 服务 于 企业 信息 化 战略 目标 ,信息 系统 安全 规划 做 得 好 ,企业 信息 化 
工作 的 实现 就 有 了 保障 。 信 息 系 统 安全 规划 是 企业 信息 化 发 展 战略 的 基础 性 工作 ,不 是 可 
有 可 无 而 是 非常 重要 。 由 于 企业 信息 化 的 任务 与 目标 不 同 ,所 以 信息 系统 安全 规划 包括 的 
内 容 就 不 同 , 建 设 的 规模 也 有 很 大 的 差异 ,因此 信息 系统 安全 规划 无 法 从 专业 书籍 或 研究 资 
料 中 找到 非常 有 针对 性 的 帮助 和 适用 法 则 ,也 不 可 能 给 出 一 个 规范 化 的 信息 系统 安全 规划 
的 模板 。 信 息 系统 安全 规划 的 框架 与 方法 的 给 出 还 需要 依赖 信息 系统 安全 规划 工作 的 建设 
原则 、 内 容 和 思路 ,在 具体 规划 中 还 需要 深入 细致 地 进行 本 地 化 的 调查 与 研究 。 


3.4 本 章 小 结 


本 章 首先 介绍 了 信息 系统 安全 规划 的 概念 ,目标 、 作 用 和 步骤 ,然后 深入 介绍 信息 系统 
安全 规划 的 内 容 , 包 括 计算 模 式 的 安全 规划 、 信 息 资源 的 安全 规划 、 网 络 与 系统 安全 规划 ,组 
织 与 管理 安全 规划 。 计 算 模式 规划 方面 主要 介绍 了 近年 来 比较 流行 的 C/S、B/S 模式 的 安 
全 规划 方法 ,并 粗略 涉及 近期 比较 流行 的 云 计算 模式 。 信 息 资源 的 规划 强调 保障 信息 的 完 
整 性 ,保密 性 和 可 用 性 。 网 络 与 系统 的 安全 规划 具体 到 网 络 拓扑 结构 、 网 络 通信 及 系统 面临 
的 安全 威胁 等 的 安全 防御 措施 。 组 织 与 管理 安全 规划 是 信息 系统 安全 规划 不 可 忽视 的 问 
题 ,所 谓 “ 三 分 技术 ,七 分 管理 ”就 是 这 个 道理 。 最 后 采用 分 类 列举 的 方式 详细 介绍 安全 规划 
模型 和 方法 ,包括 几 种 典型 的 安全 模型 ,例如 ,比较 经 典 的 BLP 模型 、Biba 模型 和 RBAC 模 
型 等 。 


1. 信息 系统 安全 规划 的 目的 是 什么 ? 
2. 你 认为 信息 系统 安全 规划 的 步骤 中 最 重要 的 是 哪 一 点 ? 为 什么 ? 
3. 了 解 多 种 安全 模型 ,举例 说 明 信 息 流 模型 与 访问 控制 模型 的 优 缺点 。 
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4. 你 对 信息 系统 的 安全 规划 方法 还 有 什么 更 多 的 认识 ? 


第 3 章 
5. 所 谓 规划 是 为 了 防止 危险 以 及 应 对 危险 的 发 生 , 分 析 信 息 系 统 的 安全 规划 与 信息 安 
6. 熟悉 本 章 对 BLP 模型 的 描述 ,你 认为 BLP 模型 还 有 什么 地 方 可 以 改进 ? 
7. 仔细 阅读 本 章 所 涉及 的 一 系列 的 安全 模型 并 查阅 相关 资料 ,对 这 些 模 型 进行 分 析 和 


全 规划 的 关系 。 
8. 信息 系统 主要 的 安全 规划 方法 有 哪些 ? 


第 4 章 信息 系统 安全 需求 


目前 ,很 多 企业 单位 虽然 知道 信息 安全 的 严重 性 ,但 不 知道 怎么 去 防护 ,有 的 随意 购买 
一 些 安全 产品 就 以 为 万 事 大 吉 了 ,实际 上 这 是 远 远 不 够 的 。 出 现 这 类 情况 的 根本 原因 是 这 
些 企业 单位 对 自己 的 总 体 的 安全 需求 不 清楚 ,安全 需求 是 一 个 企业 为 保护 其 信息 系统 的 安 
全 对 必须 要 做 的 工作 的 全 面 描述 ,是 一 个 很 详细 全面、 系统 的 工作 规划 ,是 需要 经 过 仔细 的 
研究 和 分 析 才 能 得 出 的 一 份 技术 成 果 。 为 一 个 企业 设计 一 个 安全 体系 ,对 企业 的 安全 需求 
进行 分 析 是 必 不 可 少 的 ,是 对 企业 的 信息 财产 进行 保护 的 依据 。 安 全 需求 分 析 工 作 是 在 安 
全 风险 分 析 与 评估 工作 的 基础 上 进行 的 ,是 安全 工程 学 中 的 另 一 个 阶段 的 工作 。 


4.1 安全 需求 概述 


对 安全 需求 的 理解 可 以 从 多 角度 、 多 侧面 入 手 ,安全 工程 应 该 是 全 方位 的 ,应 从 安全 性 、 
可 靠 性 高效 性 .可 控 性 和 持续 性 等 多 方面 落实 。 


4.1.1 安全 需求 的 来 源 


系统 安全 需求 详细 规定 系统 的 安全 功能 和 安全 功能 要 达到 的 目标 ,并 以 此 作为 选择 系 
统 安全 措施 的 标准 。 安 全 需求 一 般 都 衍生 自 以 下 3 种 来 源 。 
1. 风险 评估 结果 
(1) 风险 评估 人 员 根 据 组 织 的 安全 策略 .安全 目标 和 系统 安全 等 级 确定 出 适合 系统 的 
安全 基线 ,以 此 作为 安全 要 求 的 直接 输入 。 
(2) 风险 评估 人 员 对 系统 进行 基于 关键 资产 的 风险 分 析 和 排序 ,确定 出 需要 降低 的 安 
全 后 本 
这 是 针对 特定 信息 系统 构成 及 业务 特点 进行 风险 评估 得 到 的 结果 。 
2. 国家 信息 安全 法 律 法 规 对 组 织 信 息 系 统 安 全 的 要 求 
信息 系统 安全 建设 要 遵守 国家 的 法 律 法规 和 相关 的 行业 标准 。 比 如 财政 部 和 各 省 的 
财经 项 目 , 其 安全 建设 必须 在 制定 安全 需求 时 满足 国家 出 台 的 (计算 机 安全 保护 条 例 》 及 财 
政 系统 提出 的 政府 财政 管理 信息 系统 安全 总 体 标准 》 和 《政府 财政 管理 信息 系统 安全 保障 
体系 ) 等 行业 标准 。 
组 织 业 务 性 质 确 定 的 特殊 要 求 
安全 需求 的 第 三 种 来 源 是 组 织 业 务 性 质 确定 的 特殊 要 求 。 例 如 ,IT 系统 支持 的 企业 电 
子 商 务 平台 要 保障 其 正常 运行 。 对 商务 信息 的 机 密 人 性、 完整 性 和 可 用 性 的 要 求 就 要 体现 在 
系统 的 安全 需求 中 。 安 全 需求 还 应 包括 对 其 贸易 伙伴 、 合 同方 及 服务 提供 者 必须 予以 满足 
的 那些 合同 所 规定 的 和 法 定 的 要 求 。 


a 
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4.1.2 不 同 层 次 的 安全 需求 


在 结合 国家 政策 法 规 ,企业 性 质 和 规章 制度 的 基础 上 ,考虑 安全 生产 的 各 方面 的 要 求 ， 
提出 安全 要 求 与 安全 级 别 ; 根据 对 象 单位 资产 的 确认 情况 ,提出 不 同 资产 的 安全 级 别 需 求 ， 
这 样 ,安全 问题 就 可 以 有 的 放 矢 。 因 为 信息 与 网 络 系统 是 分 层 的 ,所 以 ,在 进行 需求 分 析 时 
也 应 该 根据 各 层 的 具体 情况 分 级 别提 出 安全 需求 。 一 般 情 况 下 ,要 考虑 以 下 5 个 层次 的 安 
全 需求 。 

1. 物理 层 的 安全 需求 

在 考虑 信息 系统 安全 时 ,首先 要 考虑 物理 安全 。 例 如 : 不 规范 施工 .设备 毁坏 .意外 故 
障 、 物 理 区 访问 控制 等 。 物 理 层 的 安全 就 是 保证 实体 财产 的 安全 。 实 体 安全 是 信息 系统 安 
全 的 低层 安全 ,也 是 保证 上 层 安 全 的 基础 。 物 理 层 的 安全 需求 分 析 就 是 根据 单位 的 实际 情 
况 , 确 定单 位 各 实体 财产 的 安全 级 别 , 需 要 什么 程度 的 安全 防护 ,达到 什么 样 的 安全 目的 。 
通常 对 于 涉 密 信息 ,应 防止 系统 通过 无 线 电 辐射 泄露 秘密 信息 等 。 

2. 系统 层 的 安全 需求 

这 里 的 系统 主要 指 操作 系统 ,操作 系统 是 信息 系统 的 基础 平台 , 它 的 安全 也 是 保证 上 层 
安全 的 基础 。 系 统 层 的 安全 主要 是 保证 主机 ,特别 是 各 应 用 服务 器 和 数据 库 服务 器 的 操作 
系统 、 应 用 软件 及 其 数据 的 安全 。Internet 上 的 各 种 网 络 攻击 主要 集中 在 系统 层 , 包 括 对 各 
种 操作 系统 、 应 用 服务 器 、 网 络 基 本 服务 的 攻击 ,利用 这 些 操 作 系 统 、 应 用 服务 器 、 网 络 服务 
的 安全 漏洞 .取得 对 服务 器 的 控制 权 。 这 些 攻击 可 能 在 信息 网 络 内 部 ,也 可 能 在 信息 网 络 外 
部 出 现 。 此 外 ,病毒 也 可 能 进入 信息 网 络 中 传播 ,对 各 种 主机 和 服务 器 造成 破坏 ,导致 系统 
不 可 用 、 文 件 损坏 数据 丢失 等 严重 后 果 。 

系统 层 的 安全 需求 分 析 就 是 研究 为 保证 安全 ,应 该 要 求 操 作 平台 达到 什么 样 的 安全 级 
别 , 为 达到 所 要 求 的 级 别 ,应 该 选用 什么 样 的 操作 系统 ,如 何 使 用 ,管理 .配置 操作 系统 。 

3. 网 络 层 的 安全 需求 

网 络 层 是 Internet 的 核心 ,是 为 上 层 应 用 提供 网 络 传输 的 基础 ,也 是 局 域 网 和 广域网 连 
接 的 接口 。 因 此 ,针对 网 络 层 的 攻击 和 破坏 很 多 。 现 在 经 常 采取 的 安全 防护 措施 是 在 网 络 
的 边界 上 ,通过 部 署 防火 墙 产品 的 IP 过 滤 和 应 用 代理 等 功能 来 实现 安全 连接 ,抵御 来 自 公 
共 网 络 的 各 种 攻击 ,保障 内 部 网 络 的 正常 运行 。 

网 络 层 的 安全 需求 还 包括 : 

(1) 对 内 部 网 络 不 同安 全 区 域 有 不 同 的 安全 需求 ,做 不 同 的 安全 访问 控制 措施 。 

(2) 对 于 重要 的 服务 器 、 网 络 交 换 、 路 由 设备 的 系统 日 志 , 采 取 集 中 的 基于 行为 的 审计 ， 
从 根本 上 防止 别人 利用 信息 网 络 的 系统 及 设备 进行 攻击 。 

(3) 对 于 需要 在 公共 网 络 中 传送 的 重要 数据 ,使 用 VPN 技术 实现 机 密 传输 ,以 保证 重 
要 信息 的 机 密 性 和 完整 性 。 

(4) 建立 网 络 安 全 主动 防御 机 制 ,采用 基于 主机 的 入 侵 检 测 系 统 部 署 防范 针对 主机 的 
攻击 ,采用 基于 网 络 的 入侵 检测 系统 对 信息 网 络 的 重要 网 段 提供 主动 性 安全 保证 措施 。 

(5) 对 于 网 络 层 所 传输 的 数据 的 保护 可 以 采用 加 密 技 术 来 实现 ,新 一 代 的 安全 网 络 协 
议 正 在 设计 和 实验 阶段 。 那 么 ,根据 信息 系统 的 业务 方向 ,分 析 系 统 的 网 络 安全 需求 ,再 确 


74 信息 系统 安全 


定 应 该 采用 什么 样 的 防护 方式 。 

4. 应 用 层 的 安全 需求 

应 用 层 是 网 络 分 层 结构 的 最 上 层 , 是 用 户 直接 接触 的 部 分 。 由 于 基于 网 络 的 应 用 很 多 ， 
供应 商 也 很 多 ,所 以 存在 的 安全 问题 也 很 多 ,相应 的 安全 防护 技术 也 很 多 ,需要 根据 实际 情 
况 来 衡量 对 它们 的 需求 程度 。 

5. 管理 层 的 安全 需求 

信息 系统 安全 是 一 个 管理 和 技术 结合 的 问题 。 一 个 严密 、 完 整 的 管理 体制 ,不 但 可 
以 最 大 限度 地 在 确保 信息 系统 安全 的 前 提 下 实现 信息 资源 共享 ,而 且 可 以 弥补 技术 性 安 
全 隐患 的 部 分 弱点 。 管 理 包括 行政 性 和 技术 性 管理 。 信 息 系 统 能 否 正常 高 效 地 运行 ,很 
大 程度 上 取决 于 是 否 发 挥 了 它 的 最 大 功效 ,这 依赖 于 系统 的 管理 策略 。 管 理 层 的 安全 需 
求 分 析 就 是 研究 为 了 保证 系统 的 安全 ,应 该 建立 一 个 怎样 的 管理 体制 。 具 体 来 讲 ,就 是 
成 立 什 么 样 的 管理 机 构 或 部 门 ,负责 什么 任务 ,完成 什么 功能 ,遵循 什么 原则 ,达到 什么 
要 求 。 


4.2 安全 需求 分 析 概述 


安全 需求 分 析 是 为 了 在 安全 系统 的 开发 人 员 和 提出 需求 的 人 员 ( 即 用 户 ) 之 间 建 立 一 种 
理解 和 沟通 的 机 制 , 以 确定 安全 系统 "做 什么 ”而 非 * 怎 么 做 ”, 即 如 何 实现 的 问题 。 安 全 需求 
以 一 种 清晰 、 简 洁 , 一 致 且 无 二 义 性 的 方式 ,对 一 个 待 开 发 的 安全 系统 中 各 个 有 意义 的 方面 
进行 陈述 , 它 必须 包含 有 足够 多 的 信息 ,以 使 开发 人 员 开 发 一 个 能 使 用 户 满意 的 安全 系统 。 


4.2.1 安全 需求 分 析 涉 及 的 一 般 性 问题 


本 节 主 要 是 考察 在 安全 目标 、 需 求 和 要 求 的 分 析 和 定义 中 所 涉及 的 一 般 性 问题 。 

1. 安全 法 规 和 策略 

首次 信息 系统 安全 的 需求 分 析 活 动 应 包括 全 面 审查 和 考虑 适用 规定 和 政策 法 令 。 此 过 
程 中 需要 解释 大 量 的 法 规 ,法令 .规定 .机构 的 政策 ,政府 有 关 保 护 机 密 信息 的 指南 .国家 标 
准 等 ,其 目的 是 保证 系统 充分 实现 强制 性 规定 以 及 相关 的 指南 得 到 遵守 。ISSE 过 程 并 不 要 
求 产生 系统 特有 的 策略 或 指令 ,而 是 把 这 些 指 令 视 为 对 任务 环境 和 用 户 机 构 更 合适 的 较 高 
层次 的 管理 功能 。 安 全 的 接口 控制 和 设计 规范 以 及 系统 安全 操作 程序 、 限 制 和 控制 都 应 作 
为 系统 产品 和 过 程 方 案 在 整个 开发 周期 内 的 ISSE 过 程 中 产生 出 来 。 

2. 安全 威胁 评估 

安全 威胁 评估 定义 为 敌 方 有 意 利 用 对 信息 或 系统 造成 损害 的 环境 、 行 动 或 事件 的 能 力 、 
意图 ,攻击 目标 和 方法 。 既 要 考虑 内 部 和 外 部 人 员 的 故意 安全 威胁 ,也 要 考虑 误 操作 或 偶然 的 
误 用 。ISSE 与 用 户 一 起 工作 ,帮助 他 们 在 系统 威胁 评估 报告 (System Threat Assessment 
Report,STAR) 中 准确 描述 有 关 信息 系统 安全 的 威胁 。 

STAR 的 内 容 包括 ， 

(1) 开发 期 间 的 威胁 。 
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(2) 信息 和 信息 系统 的 安全 威胁 。 

(3) 其 他 各 种 类 型 的 威胁 。 

(4) 得 到 证 明 的 威胁 。 

(5) 可 以 支持 的 假设 威胁 。 

3. 任务 安全 目标 

安全 目标 由 系统 用 户 陈 述 , 代 表 最 高 等 级 的 安全 定义 。 安 全 目标 可 以 适用 于 任务 的 某 
个 部 分 ,也 可 以 适用 于 任务 的 多 方面 。 一 个 具体 的 安全 目标 说 明 应 对 得 到 安全 目标 支持 的 
任务 进行 文档 化 描述 。 作 为 系统 能 力 需求 定义 的 一 部 分 ,应 对 安全 目标 和 基本 理由 陈述 建 
立 有 效 的 可 追踪 性 。 

安全 目标 如 图 4. 1 所 示 ,图 中 显示 了 任务 信息 .通用 性 威胁 指南 综合 安全 指南 和 安全 
目标 的 关系 。 理 由 说 明 应 提供 对 某 些 需要 安全 保护 的 理解 ,并 抓 住 安全 目标 与 以 下 各 项 之 
间 的 关系 : 受到 安全 目标 支持 的 任务 目标 ` 激 发 安全 目标 与 任务 相关 的 威胁 .不 实现 安全 目 
标的 后 果 、 驱 动 或 支持 适用 于 安全 目标 的 综合 安全 指南 。 


| 击 用 成 助 指南 


任务 目标 “| 『「 咸丰 文档 无 安全 的 后 
文档 化 A 朱文 档 化 
图 4.1 安全 目标 


4. 安全 服务 

在 对 威胁 进行 分 析 的 基础 上 ,规定 了 5 种 标准 的 安全 服务 。 

1) 对 象 认证 安全 服务 

对 象 认证 安全 服务 用 于 识别 对 象 的 身份 并 证 实 。OSI 环境 可 提供 信 源 认证 和 对 等 实体 
认证 等 安全 服务 。 信 源 认证 是 用 于 验证 收 到 的 数据 来 源 与 所 声称 的 来 源 是 否 一 致 , 它 不 提 
供 防止 数据 中 途 被 修改 的 功能 。 对 等 实体 认证 是 用 来 验证 在 某 一 关联 的 实体 中 ,对 等 实体 
的 声明 是 一 致 的 , 它 可 以 确认 对 等 实体 没有 假冒 身份 。 

2) 访问 控制 安全 服务 

访问 控制 安全 服务 提供 对 未 授权 使 用 资源 的 防御 措施 。 访 问 控制 可 分 为 自主 访问 控 
制 . 强 制 访问 控制 ,基于 角色 的 访问 控制 。 可 以 通过 基于 访问 控制 属性 的 访问 控制 表 、 基 于 
安全 标签 或 用 户 和 资源 分 档 的 多 级 访问 控制 等 实现 。 

3) 数据 机 密 性 安全 服务 

数据 机 密 性 安全 服务 是 针对 信息 泄露 而 采取 的 防御 措施 ,可 分 为 信息 保密 .选择 段 保密 
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和 业务 流 保密 。 它 的 基础 是 数据 加 密 机 制 的 选择 。 

4) 数据 完整 性 安全 服务 

数据 完整 性 安全 服务 是 防止 非法 算 改 信息 ,如 修改 ,复制 和 删除 等 。 它 有 5 种 形式 : 无 
连接 完整 性 、 选 择 字段 无 连接 完整 性 、 可 恢复 连接 完整 性 、 无 恢复 连接 完整 性 、 选 择 字段 连 接 
完整 性 。 

5) 防 抵赖 性 安全 服务 

防 抵赖 性 安全 服务 是 针对 对 方 抵赖 的 防范 措施 ,用 来 证 实 发 生 过 的 操作 , 它 可 分 为 对 发 
送 防 抵赖 和 对 接收 防 抵 炽 。 

另外 ,还 可 以 包括 鉴别 服务 和 可 用 性 服务 。 

鉴别 服务 是 对 用 户 、 用 户 设备 和 其 他 实体 进行 有 效 性 验证 和 真实 性 验证 ,或 对 被 存储 或 
被 传输 的 完整 性 提供 保护 , 即 防止 其 他 实体 占用 或 独立 操作 被 鉴别 实体 的 身份 。 

可 用 性 服务 是 保证 提供 按 用 户 所 需 的 地 点 ,时 间 和 形式 的 信息 。 
4.2.2 安全 需求 分 析 过 程 

信息 系统 安全 需求 的 分 析 过 程 一 般 来 说 主要 有 以 下 基本 的 步骤 。 

1. 系统 调查 

了 解 信息 系统 所 处 的 安全 环境 , 即 存在 于 系统 边界 之 外 并 对 系统 的 安全 具有 直接 或 洪 
在 影响 的 所 有 因素 及 其 他 与 安全 相关 的 信息 ,如 用 户 、 组 成 部 件 、 运 行 机 制 及 与 其 他 系统 的 
连接 情况 等 。 在 此 基础 上 确定 需要 保护 的 资产 ,包括 软 硬 件 、 数 据 ,文档 和 计算 机 服务 等 ,并 
评价 各 个 资产 的 相对 价值 。 

2 定性 分 析 系 统 的 脆弱 点 和 可 能 遭受 的 安全 威胁 

此 步骤 需要 一 定 程度 的 想象 ,以 预测 资产 可 能 受到 的 损害 及 损害 的 来 源 , 因 此 比 第 一 步 
更 加 困难 。 系 统 脆弱 点 和 安全 威胁 是 两 个 互相 依赖 的 概念 。 没 有 脆弱 点 ,威胁 也 就 不 成 * 威 
胁 ”; 没有 威胁 ,也 就 没有 所 谓 的 脆弱 点 。 当 系统 的 脆弱 点 被 确定 后 ,需要 针对 各 脆弱 点 分 
析 可 能 由 此 引发 的 安全 威胁 及 其 对 资产 可 能 造成 损害 程度 。 

3. 定量 分 析 脆弱 点 和 安全 威胁 

此 步 的 目标 是 确定 系统 暴露 各 种 脆弱 点 及 面临 安全 威胁 的 可 能 性 。 这 种 可 能 性 与 当前 
所 处 的 安全 环境 和 采用 的 安全 措施 有 关 。 估 算 脆弱 点 和 安全 威胁 的 可 能 性 是 非常 困难 的 ， 
一 般 主要 采用 概率 统计 的 方法 。 分 析 的 数据 主要 是 操作 日 志 , 局 部 犯罪 的 统计 和 用 户 的 投 
诉 等 ,得 到 结果 后 可 以 进一步 计算 出 系统 承受 的 安全 风险 值 。 

4. 需求 的 确定 

此 步 将 定性 分 析 和 定量 分 析 的 结果 进行 综合 ,定义 信息 系统 的 安全 需求 。 开 发 人 员 由 
此 确定 相应 的 安全 措施 ,为 信息 系统 提供 有 效 且 合理 的 安全 保障 。 

安全 需求 分 析 的 过 程 是 一 个 不 断 发 展 的 过 程 。 随 着 系统 环境 的 发 展 以 及 外 部 形势 的 改 
变 ,安全 需求 也 会 改变 。 要 想 保持 分 析 结果 的 有 效 性 ,必须 保证 结果 时 刻 最 新 ,安全 需求 分 
析 的 过 程 也 得 与 系统 同步 发 展 。 安 全 需求 的 管理 工作 也 将 一 直 进行 下 去 ,以 最 终 指导 信息 
系统 安全 保障 措施 的 实施 。 
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4.2.3 安全 需求 分 析 方 法 


1. 安全 危险 性 分 析 模型 

安全 需求 的 获取 实际 上 是 对 用 户 意图 不 断 进 行 揭示 和 判断 的 过 程 。 当 用 户 在 对 信息 系 
统 自身 的 状况 和 可 能 遇 到 的 安全 危险 并 不 太 了 解 的 情况 下 ,只 能 提出 一 些 较为 抽象 的 安全 
需求 。 安 全 危险 性 分 析 的 目的 就 是 对 各 种 危险 信息 进行 全 面 的 收集 和 充分 的 分 析 , 以 使 用 
户 能 够 进一步 明确 系统 的 脆弱 点 和 可 能 遭受 的 安全 威胁 ,从 而 提出 详细 、 准 确 的 安全 需求 。 

2. 安全 风险 分 析 模型 

安全 风险 是 由 于 某 种 不 希望 安全 事件 的 发 生 , 导 致 对 系统 造成 影响 的 可 能 性 。 根 据 系 
统 安全 工程 能 力 成 熟 模型 (SSE-EMM) 中 的 理论 ,能 够 成 为 风险 的 安全 事件 有 3 个 重要 的 
组 成 部 分 : 系统 脆弱 点 、 安 全 威胁 和 事件 造成 的 影响 。 一 般 而 言 ,这 3 个 因素 必须 同时 存在 
才能 构成 安全 风险 。 

信息 系统 面临 的 安全 风险 值 是 确定 系统 安全 需求 的 一 个 重要 依据 ,也 是 评价 系统 安全 
可 信 度 的 一 个 重要 的 量化 指标 。 确 定 了 可 能 受到 损害 的 资产 ,并 分 析出 相应 的 脆弱 点 和 安 
全 威胁 后 ,就 可 以 通过 安全 风险 分 析 确 定 系统 资产 的 风险 所 在 ,再 采用 相应 的 安全 措施 
将 信息 系统 遗留 的 安全 风险 控制 在 可 接受 的 范围 之 内 。 图 4. 2 给 出 了 安全 风险 分 析 的 
全 过 程 。 


脆弱 点 信息 


评价 安全 风险 


风险 信息 


威胁 信息 


影响 信息 
图 4.2 安全 风险 分 析 过 程 


4.2.4 安全 需求 的 描述 方法 


很 多 人 用 自然 语言 来 描述 安全 需求 。 自 然 语言 的 好 处 是 直观 、 易 懂 、 交 流 方 便 , 但 隐藏 
了 可 能 导致 误解 的 模糊 成 分 。 特 别 是 对 于 需要 精确 ,简洁 描述 的 安全 需求 来 说 ,自然 语言 的 
二 义 性 可 能 导致 开发 人 员 对 用 户 需求 的 误解 ,隐藏 的 模糊 成 分 可 能 导致 安全 系统 某 些 功能 
自 相 了 矛盾。 

软件 工程 中 使 用 形式 化 、 非 形式 化 和 基于 知识 表示 的 需求 规格 说 明 方 法 描述 安全 需求 ， 
它们 各 有 优 缺 点 ,但 由 于 其 缺乏 对 安全 领域 知识 的 描述 能 力 , 因 此 在 描述 安全 需求 方面 存在 
着 某 些 不 足 。 例 如 形式 化 方法 虽然 能 够 严密 、 精 确 地 描述 和 分 析 安 全 需求 ,但 是 其 非常 复杂 
而 且 难 以 掌握 ,不 易于 被 非 专家 级 的 人 员 理 解 , 从 而 不 便于 和 用 户 沟通 。 应 用 仍 存在 一 定 的 
局 限 性 。 

被 国际 标准 化 组 织 认 可 的 通用 标准 中 给 出 了 一 套 安 全 需求 的 定义 方法 , 供 安全 系统 的 
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开发 人 员 、 用 户 和 评价 人 员 参 照 使 用 。 通 用 标准 中 ,安全 需求 以 类 、 族 和 组 件 的 形式 进行 定 
义 , 其 中 类 和 族 反映 的 是 分 类 方法 ,具体 的 安全 需求 由 组 件 来 体现 。 通 常 , 安 全 系统 有 多 项 
安全 需求 ,需要 用 多 个 需求 组 件 以 一 定 的 组 织 方式 组 合 起 来 表示 。 通 用 标准 定义 了 3 种 类 
型 的 组 织 结构 用 于 描述 系统 的 安全 需求 : 安全 组 件 包 、 保 护 框架 定义 书 (Protection Profile， 
PP) 和 安全 对 象 定义 书 (Security Target,ST) 。 

采用 通用 标准 中 的 描述 方法 ,可 以 产生 标准 化 的 需求 规格 说 明 ,而 且 便 于 对 安全 系统 进 
行 有 效 的 安全 评估 。 缺 点 是 由 于 描述 语言 的 形式 化 程度 不 高 ,不 便于 对 安全 需求 进行 一 致 
性 和 完备 性 的 验证 ,并且 缺 乏 对 定量 化 的 安全 保障 需求 的 描述 。 解 决 的 方法 是 结合 使 用 其 
他 的 描述 方法 ,将 通用 标准 的 需求 规格 说 明 方法 进行 扩展 。 


4.3 安全 需求 分 类 


用 户 对 安全 方面 的 需求 有 很 多 ,涉及 待 开发 系统 的 功能 、 性 能 和 约束 等 各 个 方面 的 内 
容 。 信 息 技术 安全 性 认证 通用 标准 将 安全 需求 划分 成 安全 功能 需求 和 安全 保障 需求 两 个 独 
立 的 范畴 来 定义 ,前 者 描述 的 是 安全 系统 应 该 提供 的 安全 功能 ,后 者 描述 的 是 系统 的 安全 可 
信和 度 及 为 获取 可 信和 度 而 应 该 采取 的 措施 。 


4.3.1 操作 系统 安全 需求 


操作 系统 作为 管理 和 调度 中 心 ,保证 用 户 能 够 高 效 、 有 序 地 使 用 计算 机 资源 。 操 作 系 统 
服务 多 个 应 用 软件 和 用 户 ,确保 多 个 应 用 软件 和 用 户 能 够 安全 地 使 用 系统 资源 是 最 基本 的 
安全 目标 之 一 。 下 面 初步 分 析 操 作 系统 的 安全 需求 。 

对 于 多 用 户 操作 系统 ,在 用 户 管理 上 存在 一 系列 的 安全 问题 。 例 如 ,对 于 一 台 公 用 计算 
机 ,多 个 用 户 使 用 时 必须 要 考虑 用 户 管理 问题 。 如 果 任 意 用 户 都 拥有 资源 的 控制 权限 ,任何 
人 都 可 以 更 改 系统 配置 .设置 文件 访问 权限 等 ,那么 其 他 用 户 的 程序 或 文件 可 能 无 法 使 用 
了 ,保存 的 信息 也 没有 了 机 密 性 ,用 户 彼此 之 间 冲 突 导致 系统 骨 溃 。 因 此 ,操作 系统 要 管理 
用 户 账户 及 权限 ,提高 用 户 信息 与 应 用 程序 的 安全 性 。 

另外 ,进程 之 间 对 资源 的 竞争 也 可 能 导致 操作 系统 不 安全 。 在 系统 中 并 行 运行 着 多 个 
进程 ,进程 之 间 共 享 CPU ,存在 CPU 和 内 存 空间 的 竞争 。 若 一 个 进程 越界 访问 并 更 改 了 其 
他 进程 的 内 存 空 间 ,将 导致 其 他 程序 无 法 执行 。 进 程 对 资源 的 占用 是 互 斥 的 , 当 某 个 进程 长 
期 占用 某 一 资源 时 ,如 果 没 有 进程 管理 和 保护 策略 ,其 他 需要 使 用 此 资源 的 进程 将 无 法 运 
行 ,导致 操作 系统 面临 死 锁 的 问题 。 

操作 系统 本 身 就 是 一 个 基本 的 信息 系统 ,有 着 与 普通 信息 系统 类 似 的 安全 需求 。 例 如 
为 用 户 文件 信息 提供 保密 服务 ,对 异常 系统 行为 有 责任 认定 的 能 力 。 由 于 操作 系统 自身 的 
重要 性 和 复杂 性 ,客观 上 需要 有 严格 验证 其 安全 性 的 方法 。 


4.3.2 数据 库 安全 需求 


数据 库 安 全 包括 两 方面 的 问题 : 一 是 数据 库 数 据 的 安全 ,二 是 数据 库 系 统 不 被 非法 用 
户 和 人 侵 。 数 据 库 数据 的 安全 指 当 数据 库 数据 存储 媒介 被 破坏 时 以 及 当 数据 库 用 户 误 操作 
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时 ,数据 库 数据 信息 不 至 于 丢失 。 数 据 库 系统 不 被 非法 用 户 入 侵 是 指 尽 可 能 地 发 现 各 种 洪 
在 的 漏洞 ,防止 非 授 权 用 户 利用 漏洞 入 侵 数据 库 系统 。 数 据 库 的 安全 需求 可 以 总 结 为 以 下 
方面 : 

1. 数据 机 密 性 

数据 机 密 性 是 指数 据 不 会 受到 未 授权 用 户 的 访问 , 即 敏感 信息 不 会 直接 或 间接 地 泄露 
给 未 授权 用 户 。 数 据 库 管理 系统 (DBMS) 在 决定 是 否 运 行 一 个 访问 时 ,需要 考虑 数据 的 可 
用 性 ,访问 的 可 接受 性 及 用 户 的 合法 性 。 

2. 数据 完整 性 

数据 完整 性 主要 指数 据 库 中 的 数据 必须 满足 相关 约束 ,以 满足 所 支撑 业务 处 理 的 要 求 。 
当 整 个 数据 库 或 某 个 数据 项 被 破坏 时 ,数据 的 完整 性 受到 破坏 。 数 据 库 完整 性 包括 物理 数 
据 库 完 整 性 和 逮 辑 数据 库 完 整 性 。 

物理 数据 库 完整 性 是 指 整个 数据 库 的 数据 不 受 物理 条 件 的 影响 ,在 灾难 发 生 后 可 以 重 
建 数据 库 。 

逻辑 数据 库 完整 性 是 指数 据 库 的 结构 是 受到 保护 的 。 

3. 可 用 性 

可 用 性 是 指 当 系统 授权 的 合法 用 户 申请 访问 授权 数据 时 ,安全 系统 应 保证 该 访问 的 可 
操作 性 。 

4. 可 靠 性 

可 靠 性 包括 操作 可 靠 性 和 存储 可 靠 性 。 

操作 可 靠 性 主要 指数 据 库 往 往 是 重要 业务 操作 的 对 象 ,操作 一 般 分 为 多 个 步骤 ,为 了 不 
破坏 数据 ,需要 确保 操作 作为 一 个 整体 成 功 或 失败 。 

存储 可 靠 性 是 指数 据 库 需 要 提供 可 靠 的 方法 存储 数据 , 减 小 系统 故障 .数据 丢失 或 损坏 
的 风险 。 

5. 可 追踪 性 

可 追踪 性 是 指 能 够 跟踪 到 访问 或 修改 数据 元 素 的 人 ,以 帮助 维护 数据 库 的 完整 性 。 


4.3.3 网 络 安全 需求 


满足 基本 的 安全 要 求 ,是 网 络 成 功 运行 的 必要 条 件 , 在 此 基础 上 提供 强 有 力 的 安全 保 
障 ,是 网 络 系统 安全 的 重要 原则 。 网 络 内 部 部 署 了 众多 的 网 络 设备 、 服 务 器 ,保护 这 些 设 备 
的 正常 运行 ,维护 主要 业务 系统 的 安全 ,是 网 络 的 基本 安全 需求 。 对 于 各 种 各 样 的 网 络 攻 
击 , 在 提供 灵活 且 高 效 的 网 络 通信 及 信息 服务 的 同时 ,抵御 和 发 现 网 络 攻击 ,并且 提 供 跟 踪 
攻击 的 手段 。 网 络 基本 安全 需求 主要 表现 为 : 

(1) 网 络 正常 运行 。 在 受到 攻击 的 情况 下 ,能够 保证 网 络 系统 继续 运行 。 

(2) 网 络 管理 和 网 络 部 署 的 资料 不 被 窃取 。 

(3) 具备 先进 的 人 侵 检测 及 跟踪 体系 。 

(4) 提供 灵活 而 高 效 的 内 外 通信 服务 。 

与 普通 网 络 应 用 不 同 的 是 ,应 用 系统 是 网 络 功能 的 核心 。 对 于 应 用 系统 应 该 具有 最 高 
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的 网 络 安全 措施 。 应 用 系统 的 安全 体系 应 包含 : 
(1) 访问 控制 。 
通过 对 特定 网 段 、 服 务 建立 的 访问 控制 体系 ,将 绝 大 多 数 攻击 阻止 在 到 达 攻 击 目 标 
之 前 。 
(2) 检查 安全 漏洞 。 
通过 对 安全 漏洞 的 周期 检查 ,即使 攻击 可 到 达 攻 击 目标 ,也 可 使 绝 大 多 数 攻击 无 效 。 
(3) 攻击 监控 。 
通过 对 特定 网 段 .服务 建立 的 攻击 监控 体系 ,可 实时 检测 出 绝 大 多 数 攻 击 ,并 采取 相应 
的 行动 ,如 断 开 网 络 连接 .记录 攻击 过 程 . 跟 踪 攻击 源 等 。 
(4) 加 密 通 信 。 
主动 的 加 密 通 信 , 可 使 攻击 者 不 能 了 解 、 修 改 签 感 信息 。 
(5) 认证 。 
良好 的 认证 体系 可 防止 攻击 者 假冒 合法 用 户 。 
(6) 备份 和 恢复 。 
良好 的 备份 和 恢复 机 制 ,可 在 攻击 造成 损失 时 ,尽快 地 恢复 数据 和 系统 服务 。 
(7) 多 层 防御 。 
攻击 者 在 突破 第 一 道 防 线 后 ,延缓 或 阻 断 其 到 达 攻 击 目标 。 
(8) 隐藏 内 部 信息 。 
使 攻击 者 不 能 了 解 系统 内 的 基本 情况 。 
(9) 设立 安全 监控 中 心 。 
为 信息 系统 提供 安全 体系 管理 ,监控 .维护 及 紧急 情况 服务 。 


4.3.4 物 联 网 安全 需求 


物 联网 被 公认 为 包含 3 个 层次 ,从 下 到 上 依次 是 感知 层 、 网 络 层 和 应 用 层 。 

物 联网 的 末端 节点 包括 : 传感器 节点 、RFID 标签 、 近 距离 无 线 通信 终端 ,移动 通信 终 
端 \ 摄 像 头 以 及 传 感 网 络 网 关 等 。 按 照 末 端 节点 与 网 络 的 关系 划分 ,有 接 入 感知 网 络 的 节点 
以 及 直接 接 入 通信 网络 的 节点 。 物 联网 的 安全 需求 可 分 为 以 下 4 个 方面 。 

1. 末端 节点 的 安全 需求 

末端 节点 的 安全 需求 可 通过 对 节点 特性 的 分 析 归 纳 得 出 ,这 些 特性 包括 : 

01) 节点 的 存储 ,通信 及 处 理 能 力 等 物理 特性 。 

(2) 节 点 所 提供 服务 的 差异 。 

(3) 节 点 所 服务 的 环境 及 使 用 用 户 要 求 的 差异 等 。 

不 同 特性 节点 的 脆弱 性 与 安全 威胁 、 安 全 防护 要 求 及 可 能 采取 的 安全 措施 也 各 不 相同 。 

2. 感知 层 安 全 需求 

感知 网 络 的 安全 需求 应 该 根据 感知 网 络 自身 的 特点 、 服 务 的 节点 特征 及 使 用 用 户 的 要 
求 进行 建立 。 一 般 的 感知 网 络 特点 包括 : 低 功 耗 、 分 布 松散 、 信 令 简练 ,协议 简单 广播 特 
性 ,少量 交互 甚至 无 交互 等 ,因此 安全 建立 应 利用 尽 可 能 少 的 能 量 及 带宽 资源 ,设计 出 精简 、 
安全 的 算法 、 密 钥 体 系 及 安全 协议 ,解决 相应 的 安全 问题 。 
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3. 网 络 层 安全 需求 

通信 网 络 主要 包括 有 线 、 无 线 及 卫星 信道 等 ,通信 网 络 的 安全 问题 早 在 通信 网 络 标准 制 
定 初期 ,就 被 国际 及 国内 相关 标准 组 织 .研究 院 所 及 管理 机 构 所 研究 ,并 制定 了 一 系列 标准 
算法 安全 协议 及 解决 方案 。 通 信和 网 络 的 安全 需求 主要 包括 : 

(1) 接 入 鉴 权 。 

(2) 话音 ,数据 及 多 媒体 业务 信息 的 传输 保护 。 

(3) 在 公共 网 络 设 施 上 构建 VPN 的 应 用 需求 ,用 户 个 人 信息 或 集团 信息 的 隐蔽 。 

(4) 各 种 网 络 病毒 .网络 攻击 等 。 

针对 不 同 的 网 络 特征 及 用 户 需求 ,采取 一 般 的 安全 防护 措施 或 增强 的 安全 防护 措施 能 
基本 解决 物 联网 通信 网 络 的 大 部 分 安全 问题 。 

4. 应 用 层 安 全 需求 

安全 问题 及 安全 需求 研究 需 结 合 各 个 应 用 层次 分 别 开 展 研究 ,各 层次 的 安全 问题 及 安 
全 需求 存在 共性 及 差异 。 共 性 的 安全 需求 包括 : 操作 用 户 的 身份 认证 访问 控制 ,对 敏感 信 
息 的 信 源 加 密 及 完整 性 保护 、 证 书 及 身份 鉴别 、 数 字 签 名 及 抗 抵 赖 、 安 全 审计 等 。 个 性 化 的 
安全 需求 需要 针对 各 类 应 用 的 特点 ,使 用 环境 、 服 务 对 象 及 用 户 特殊 要 求 等 进行 分 析 研 究 。 


4.3.5 云 安 全 需求 


从 客户 的 角度 看 ,使 用 * 云 的 客户 对 * 云 "自身 的 安全 要 求 , 与 传统 网 络 及 系统 是 类 似 
的 。 客 户 看 重 的 仍然 是 放 在 “ 云 " 上 的 基础 数据 是 否 安全 。 在 云 计算 环境 下 ,由 于 网 络 层 和 
系统 层 的 抽象 化 ,客户 在 使 用 云 计算 提供 商 提供 的 云 环境 时 ,为 保证 数据 的 机 密 性 、 完 整 性 、 
可 用 性 、 真 实 性 ,授权 ,认证 和 不 可 抵赖 性 ,会 特别 关注 以 下 几 个 方面 的 安全 需求 。 

1. 数据 的 机 密 性 与 完整 性 

在 云 计算 下 ,客户 端 演变 成 显示 终端 ,客户 的 私有 数据 存储 在 * 云 "上 ,数据 传输 ,交换 都 
发 生 在 云 计算 提供 商 的 “ 云 " 里 。 因 此 ,保证 放 在 “ 云 ” 中 属于 客户 的 数据 的 机 密 性 和 完整 性 
成 为 关键 问题 。 云 计算 提供 商 应 能 有 效 维护 数据 的 机 密 性 和 完整 性 ,周期 检测 其 运行 状况 
并 提交 报告 给 客户 。 

2. 数据 的 存储 位 置 

保证 所 有 的 数据 包括 所 有 副本 和 备份 存储 在 规定 的 地 理 位 置 。 具 有 相对 固定 的 存储 位 
置 ,使 随时 查看 数据 是 否 完整 .可 用 和 真实 变 得 可 行 , 同 时 也 意味 着 客户 私有 数据 是 相对 稳 
定 的 。 

3. 数据 删除 持久 性 

云 计算 中 ,提供 商 为 了 保证 资源 的 利用 率 , 会 将 客户 的 私有 数据 共存 在 同一 物理 存储 实 
体 。 当 某 一 客户 的 部 分 或 全 部 数据 提出 删除 需求 ,该 数据 占用 的 存储 空间 就 会 被 释放 并 分 
配给 其 他 客户 使 用 。 如 果 存 在 数据 删除 不 彻底 、 可 被 恢复 的 可 能 ,就 会 造成 客户 数据 泄露 等 
严重 后 果 。 数 据 必须 彻底 有 效 地 去 除 才能 被 视 为 销毁 。 云 计算 的 提供 商 必须 提供 一 种 可 用 
的 技术 ,保证 云 计算 数据 能 被 有 效 定位 和 销毁 ,并 保证 数据 已 被 完全 消除 或 无 法 恢复 。 

4. 保证 不 同 客户 数据 混合 时 数据 间 的 有 效 隔离 

数据 尤其 是 敏感 数据 ,在 使 用 、 存 储 或 传输 过 程 中 ,如 果 没 有 任何 补偿 控制 ,不 能 与 其 他 
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客户 的 数据 混合 。 云 提供 者 应 能 根据 服务 和 数据 的 类 型 使 用 不 同 的 隔离 技术 ,实现 客户 间 
以 及 客户 不 同类 型 数据 间 的 彼此 隔离 。 云 中 存储 的 机 密 数 据 必须 通过 访问 控制 和 加 密 措施 
等 进行 保护 。 

5. 数据 备份 和 恢复 重建 

必须 保证 云 数据 备份 和 云 恢复 计划 的 有 效 性 ,以 防止 数据 丢失 、 意 外 的 数据 覆盖 和 破 
坏 。 运 营 商 应 能 演示 并 证 明 其 云 计算 具有 全 面 有 效 的 风险 管理 流程 。 

6. 数据 发 现 

云 计算 提供 商 应 保证 在 有 需求 时 能 发 现 特定 的 数据 并 确保 法 律 和 监管 当局 要 求 的 所 有 
数据 可 被 找 回 。 


4.4 信息 系统 各 基本 阶段 的 安全 需求 


4.4.1 信息 系统 规划 阶段 的 安全 需求 


信息 系统 规划 阶段 的 安全 目标 是 明确 信息 系统 安全 建设 的 目的 ,对 信息 系统 安全 建设 
实现 的 可 能 性 进行 分 析 论 证 ,设计 出 总 体 安 全 规划 方案 。 信 息 系 统 规划 阶段 涉及 的 主要 安 
全 需求 包括 : 明确 安全 总 体 方针 ; 确保 安全 总 体 方针 源 自 业务 期 望 ; 描述 所 涉及 系统 的 安 
全 现状 ; 提交 明确 的 安全 需求 文档 ; 明确 风险 评估 准则 并 达成 一 致 ; 描述 从 系统 的 哪些 层 
次 进行 安全 实现 ; 对 系统 规划 中 安全 实现 的 可 能 性 进行 充分 分 析 、 论 证 。 


4.4.2 信息 系统 设计 阶段 的 安全 需求 


信息 系统 设计 阶段 的 安全 目标 是 依据 规划 阶段 输出 的 总 体 安 全 规划 方案 ,设计 信息 系 
统 安全 的 实现 结构 和 实施 方案 。 实 现 结构 包括 功能 划分 、 接 口 协 议和 性 能 指标 等 ; 实施 方 
案 包 括 实现 技术 .设备 选 型 和 系统 集成 等 。 信 息 系统 设计 阶段 的 主要 安全 需求 包括 : 设计 
方案 符合 系统 建设 规划 ; 设计 方案 中 的 安全 需求 符合 规划 阶段 的 安全 目标 ; 评估 用 以 实现 
安全 系统 的 各 类 技术 的 有 效 性 ; 对 用 于 实施 方案 的 产品 需 满足 安全 保护 等 级 的 要 求 ; 对 自 
开发 的 软件 要 在 设计 阶段 充分 考虑 安全 风险 。 


4.4.3 信息 系统 实施 阶段 的 安全 需求 


信息 系统 实施 阶段 的 安全 目标 是 按照 规划 和 设计 阶段 所 定义 的 信息 系统 安全 实施 方 
案 , 采 购 设 备 和 软件 ,开发 定制 功能 ,集成 .部署 .配置 和 测试 信息 系统 的 安全 机 制 , 培 训 人 
员 ,并 对 是 否 允 许 系统 投入 运行 进行 批准 监督 。 信 息 系统 实施 阶段 的 主要 安全 需求 包括 ， 
确保 采购 的 设备 .软件 和 其 他 系统 组 件 满足 已 定义 的 安全 要 求 ; 确保 定制 开发 的 软件 和 系 
统 满足 已 定义 的 安全 要 求 ; 确保 整个 系统 已 按照 设计 要 求 进行 了 部 署 和 配置 ,并 通过 整体 
的 安全 测试 来 验证 系统 的 安全 功能 和 安全 特性 符合 设计 要 求 ; 通过 对 相关 人 员 的 操作 培训 
和 安全 培训 ,确保 人 员 已 具备 维持 系统 安全 功能 和 安全 特性 的 能 力 ; 通过 对 系统 投入 运行 
前 的 批准 监督 ,确保 信息 系统 的 使 用 已 得 到 授权 。 
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4.4.4 信息 系统 运行 维护 阶段 的 安全 需求 


信息 系统 运行 维护 阶段 的 安全 目标 是 在 信息 系统 经 过 授权 投入 运行 之 后 ,确保 在 运行 
过 程 中 ,以 及 信息 或 其 运行 环境 发 生变 化 时 维持 系统 的 正常 运行 和 安全 性 。 信 息 系 统 运行 
维护 阶段 的 安全 需求 包括 : 在 信息 系统 未 发 生 更 改 的 情况 下 ,维持 系统 的 正常 运行 ,进行 日 
常 的 安全 操作 和 安全 管理 ; 在 信息 系统 及 其 运行 环境 发 生变 化 的 情况 下 ,进行 风险 评估 并 
针对 风险 制定 处 理 措施 ; 定期 进行 风险 再 评估 工作 ,维持 系统 的 持续 安全 ; 定期 进行 信息 
系统 的 重新 审批 工作 ,确保 系统 授权 的 时 间 有 效 性 。 


4.4.5 信息 系统 废弃 阶段 的 安全 需求 


信息 系统 废弃 阶段 的 安全 目标 是 确保 对 信息 系统 的 过 时 或 无 用 部 分 进行 安全 报废 处 
理 , 防 止 信 息 系统 的 安全 要 求 和 安全 功能 遭 到 破坏 。 信 息 系 统 废弃 阶段 的 安全 需求 是 信息 、 
硬件 和 软件 的 安全 处 置 ,防止 将 敏感 信息 泄露 给 外 部 人 员 。 


4.5 本 章 小 结 


本 章 对 安全 需求 的 内 容 进 行 了 概述 ,描述 了 安全 需求 的 来 源 和 分 层 结构 的 安全 需求 。 
简要 介绍 了 安全 需求 分 析 的 一 般 性 问题 ,并 详细 介绍 了 安全 需求 分 析 的 过 程 ,方法 等 内 容 。 
介绍 了 几 种 常见 信息 系统 的 安全 需求 。 最 后 介绍 了 信息 系统 的 基本 阶段 的 安全 需求 。 


4.6 习 题 


. 简 述 5 个 层次 的 安全 需求 。 

. 概述 安全 需求 分 析 的 一 般 性 问题 。 

. 概述 安全 需求 分 析 过 程 。 

. 简 述 几 种 常见 的 信息 系统 的 安全 需求 内 容 。 
. 简 述 信息 系统 各 个 基本 阶段 的 安全 需求 。 


DL 
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为 了 细 化 信息 系统 的 安全 体系 结构 并 将 其 转化 为 稳定 可 生产 、 经 济 效益 好 的 系统 设计 ， 
需要 进行 全 面 详细 的 安全 设计 。 安 全 体系 结构 将 信息 安全 因素 加 入 到 系统 的 体系 结构 中 ， 
从 整体 上 解决 信息 系统 的 安全 问题 。 它 描述 了 信息 系统 的 安全 机 制 、 安 全 服务 .安全 特性 以 
及 满足 安全 需求 的 各 基本 要 素 之 间 的 关系 。 信 息 系统 安全 体系 结构 的 安全 视图 主要 集中 在 
信息 系统 的 高 级 安全 机 制 及 安全 服务 上 ,安全 功能 应 分 配 在 接口 .系统 配置 项 及 低级 组 件 
上 ,并 解决 安全 组 件 ` 安 全 服务 与 安全 机 制 之 间 的 矛盾 冲突 ,保持 其 相互 依赖 关系 。 

从 安全 系统 、 功 能 及 技术 等 安全 视图 的 角度 分 析 ,信息 系统 应 包括 3 种 安全 体系 结构 视 
图 , 即 安全 系统 体系 结构 ,安全 功能 体系 结构 及 安全 技术 体系 结构 。 因 此 ,信息 系统 安全 设 
计 应 该 包括 对 安全 系统 ,安全 功能 及 安全 技术 3 方面 的 安全 设计 。 从 系统 工程 的 角度 分 析 ， 
信息 系统 安全 的 生命 周期 包括 任务 阶段 .概念 阶段 .需求 分 析 阶 段 、 系 统 设计 阶段 .配置 审计 
阶段 以 及 运行 与 维护 阶段 。 因 此 信息 系统 安全 设计 应 涵盖 对 生命 周期 各 阶段 的 安全 分 析 与 
设计 。 


5.1 信息 系统 安全 体系 结构 设计 


5.1.1 安全 系统 设计 


安全 系统 是 由 与 安全 问题 有 关 的 若干 因素 通过 相互 联系 、 作 用 及 制约 而 成 的 具有 特定 
功能 的 有 机 整体 。 

系统 设计 的 总 体 原则 是 保证 设计 目标 的 实现 ,并 在 此 基础 上 使 技术 资源 的 运用 达到 最 
佳 效果 。 在 进行 系统 设计 过 程 中 ,应 遵循 以 下 原则 : 

(1) 可 靠 性 。 可 靠 性 是 指 信息 系统 抵御 外 界 干 扰 的 能 力 及 受 外 界 干扰 时 的 恢复 能 力 。 
可 靠 性 是 系统 设计 的 一 个 重要 指标 及 基本 出 发 点 ,只 有 设计 出 安全 可 靠 的 系统 ,才能 在 实际 
应 用 中 发 挥 应 有 的 作用 。 一 个 成 功 的 信息 系统 必须 具有 较 高 的 可 靠 性 ,如 信息 保密 性 、 抗 病 
毒 能 力 、 灾 难 恢 复 能 力 、 检 错 纠 错 能 力 等 。 

(2) 灵活 性 。 为 了 延长 系统 的 寿命 ,提高 系统 适应 外 界 环境 变化 的 能 力 ,系统 应 具有 较 
好 的 开放 性 和 结构 的 可 变性 。 采 用 模块 化 结构 设计 可 以 提高 各 模块 间 的 独立 性 , 尽 可 能 减 
少 各 子 系统 间 的 数据 依赖 程度 ,同时 便于 模块 的 修改 及 更 新 。 

(3) 系统 性 。 在 系统 设计 中 ,为 了 提高 系统 的 设计 质量 ,要 从 整体 的 角度 进行 考虑 , 实 
现 系统 的 信息 代码 及 数据 组 织 结构 的 统一 化 及 设计 规范 的 标准 化 。 

(4) 经 济 性 。 在 满足 信息 系统 安全 需求 的 前 提 下 , 尽 可 能 地 降低 系统 的 开销 。 例 如 ,在 
硬件 配置 上 并 不 是 越 先 进 越 好 ,而 应 以 满足 应 用 需要 为 前 提 。 系 统 设计 要 尽量 简洁 ,避免 不 
必要 的 复杂 化 ,以 便 缩 短处 理 流 程 与 时 间 ,减少 处 理 费用 。 

(5) 简单 性 。 在 实现 设计 目标 及 安全 功能 的 前 提 下 ,系统 应 该 尽量 简单 。 在 设计 过 程 
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中 ,简单 性 体现 在 简化 操作 、 系 统 结构 合理 清晰 ,易于 维护 和 使 用 。 

系统 模型 包括 逻辑 模型 和 物理 模型 。 在 系统 分 析 阶 段 提 出 的 模型 称 为 逻辑 模型 ,主要 
解决 系统 “做 什么 ”的 问题 。 而 在 系统 设计 阶段 所 提出 的 是 物理 模型 ,主要 确定 “怎么 做 ”的 
问题 。 如 果 说 系统 分 析 阶 段 所 提出 的 系统 逻辑 模型 只 是 一 种 构想 ,那么 系统 设计 阶段 的 任 
务 就 是 将 这 种 构想 付 诸 实践 , 即 在 系统 分 析 的 基础 上 ,将 分 析 所 得 的 逻辑 模型 设计 成 科学 合 
理 的 物理 模型 。 系 统 设计 的 主要 任务 包括 : 总 体 设计 代码 设计 、 设 计 规 范 的 制定 .系统 物 
理 配置 方案 设计 、 数 据 存储 设计 以 及 计算 机 处 理 过 程 设计 。 

确定 信息 系统 必须 实现 的 安全 功能 需求 以 及 如 何 实现 该 功能 是 系统 开发 的 两 个 必要 组 
成 部 分 。 据 此 ,可 以 将 安全 生命 周期 划分 为 两 大 部 分 。 任 务 阶段 .概念 阶段 和 需求 阶段 用 于 
确定 系统 的 安全 功能 的 需求 问题 ,而 系统 设计 、 配 置 审计 和 运行 维护 阶段 则 解决 系统 安全 功 
能 的 实现 问题 。 

系统 设计 是 一 个 反复 .周期 性 的 过 程 。 一 方面 ,设计 的 过 程 是 迭代 或 周期 性 的 ,存在 于 
系统 的 整个 生命 周期 中 诸多 阶段 。 需 要 注意 的 是 ,迭代 并 不 是 重复 ,每 次 迭代 过 程 中 都 是 针 
对 不 同 的 需求 并 修改 以 前 的 功能 。 另 一 方面 ,设计 的 过 程 可 变 并 且 可 调整 ,系统 设计 的 过 程 
及 步骤 会 随 着 设计 者 对 功能 需求 理解 的 深入 而 增加 或 减少 ,使 过 程 设计 更 合理 全 面 并 有 效 。 
为 了 使 设计 过 程 更 加 精细 ,可 以 采用 自动 工具 对 概要 设计 进行 分 析 与 提炼 ,从 而 形成 详细 设 
计 。 其 中 有 些 工 具 可 以 对 系统 设计 进行 模型 化 分 析 与 测试 。 

系统 设计 活动 将 集中 对 系统 功能 体系 结构 和 物理 体系 结构 进行 研究 和 阐明 。 

系统 功能 体系 结构 : 为 了 系统 地 展现 系统 功能 ,将 其 整合 成 一 个 体系 ,从 而 形成 系统 功 
能 体系 结构 ,包括 功能 接口 ,物理 接口 ,功能 需求 ,性 能 需求 以 及 设计 的 层次 安排 等 。 

系统 物理 体系 结构 : 一 种 包括 系统 功能 设计 需求 ,物理 接口 及 基础 性 物理 限制 等 的 系 
统 过 程 解决 方案 。 系 统 物理 体系 结构 的 过 程 包括 : 首先 将 物理 设计 形成 文档 ,完成 风险 分 
析 、 有 效 性 分 析 和 技术 过 渡 性 计划 ,从 而 确定 该 体系 结构 在 物理 实现 上 的 可 行 性 ; 其 次 ， 
识别 各 方面 的 安全 需求 ,并 编制 配置 文档 和 其 他 测试 文件 ; 最 后 ,详细 地 定义 系统 解决 
方案 。 

功能 的 划分 可 通过 面向 对 象 设计 结构 化 系统 设计 或 其 他 设计 方法 来 实现 。 


5.1.2 安全 功能 设计 


安全 功能 设计 描述 了 信息 系统 发 挥 正常 功能 所 应 具有 的 安全 防护 能 力 , 包 括 对 信息 安 
全 、 运 行 安 全 和 物理 安全 的 设计 。 其 中 信息 安全 设计 措施 包括 身份 认证 、 访 问 控 制 , 信 息 加 
密 等 ; 运行 安全 设计 措施 包括 入 侵 检测 病毒 防御 、 应 急 响 应 、 灾 难 恢复 、 安 全 审计 、 风 险 评 
估 等 ; 物理 安全 设计 措施 包括 设备 安全 、 环 境 安 全 及 介质 安全 等 。 

1. 信息 安全 设计 

信息 安全 的 含义 非常 广泛 ,不 仅 包含 对 信息 系统 的 软 硬 件 及 数据 的 保护 ,同时 也 保障 系 
统 及 信息 服务 连续 可 靠 正常 地 运行 。 信 息 安 全 主要 保证 信息 的 机 密 性 、 真 实 性 ,完整 性 、 可 
用 性 .不 可 抵赖 性 和 可 控 性 。 其 根本 目的 是 使 内 部 信息 不 受 外 部 威胁 ,因此 信息 通常 需要 加 
密 , 同 时 要 求 有 身份 认证 和 访问 控制 机 制 。 

1) 身份 认证 

身份 认证 是 为 信息 系统 提供 用 户 身 份 信息 以 便 进行 相应 授权 访问 的 技术 ,身份 认证 技 


86 信息 系统 安全 


术 主 要 有 : I&A 认证 .基于 PKI/CA 的 数字 证 书 认 证 服务 技术 .生物 身份 识别 技术 等 。 
I&A 是 使 用 用 户 名 、 密 码 登录 进行 身份 认证 的 技术 ,I&A 对 于 登录 系统 存在 隐患 很 多 , 容 
易 造 成 密码 盗用 。PKI/CA 技术 能 够 实现 双向 认证 ,能 够 保障 系统 的 抗 抵赖 性 、 完 整 性 以 及 
加 解密 等 功能 ,基于 PKI/CA 的 数字 证 书 认证 技术 已 经 被 广泛 应 用 于 身份 认证 领域 。 生 物 
身份 识别 技术 是 附着 在 其 他 应 用 技术 上 的 新 型 技术 , 它 必须 配备 相应 的 识别 设备 ,用 身体 特 
征 或 行为 特征 来 识别 用 户 ,一 旦 登录 ,设备 就 识别 用 户 的 相应 特征 ,并 将 这 些 特征 和 已 知 的 
以 数字 方式 存储 的 特征 进行 比较 。 生 物 身份 识别 技术 与 PKI 结合 使 用 是 实现 身份 认证 较 
好 的 解决 方案 。 

2) 访问 控制 

访问 控制 是 信息 系统 安全 的 核心 策略 之 一 , 它 与 身份 认证 ,信息 加 密 等 有 机 结合 ,构成 
了 信息 系统 中 传输 ,存储 和 处 理 数据 的 安全 基础 设施 。 访 问 控制 在 身份 认证 的 基础 上 ,根据 
用 户 身 份 及 预定 义 的 访问 控制 策略 对 用 户 提出 的 资源 访问 请 求 加 以 控制 。 通 常 系 统管 理 员 
控制 用 户 对 服务 器 目录 文件 等 资源 的 访问 。 访 问 控 制 的 主要 目的 是 限制 访问 主体 对 客体 
的 访问 ,从 而 保障 数据 资源 在 合法 范围 内 得 到 有 效 的 管理 与 控制 。 

常见 的 访问 控制 类 型 有 自主 访问 控制 .强制 访问 控制 和 基于 角色 的 访问 控制 。 访 问 控 
制 技术 可 以 应 用 到 信息 系统 安全 的 各 个 层面 ,包括 网 络 层 、 操 作 系 统 层 ,数据库 管理 系统 层 
以 及 应 用 系统 层 。 在 信息 系统 安全 问题 越 来 越 突 出 的 今天 ,访问 控制 技术 是 一 种 非常 有 效 
的 安全 手段 ,通过 制定 严格 .合理 并 符合 最 小 特权 .多 人 负责 和 职责 分 离 三 原则 的 访问 控制 
策略 ,可 以 有 效 防止 非法 用 户 人 侵 系 统 ,尤其 是 防止 内 部 和 外 部 人 员 的 越权 访问 ,在 很 大 程 
度 上 提升 信息 系统 的 安全 性 。 

3) 数据 加 密 

数据 加 密 是 防止 信息 泄露 ,保护 信息 安全 的 重要 屏障 ,也 是 保障 数据 机 密 性 真实 性 的 
重要 措施 。 一 旦 非法 用 户 对 系统 实施 攻击 并 成 功 进 入 系统 ,将 有 可 能 获取 任何 信息 。 所 以 ， 
对 系统 中 的 数据 进行 加 密 ,尤其 是 对 关键 数据 加 密 , 显 得 尤为 重要 。 因 为 采用 高 强度 加 密 技 
术 处 理 后 ,即使 非法 用 户 得 到 这 些 数据 也 无 法 轻易 进行 还 原 。 常 用 的 加 密 技术 分 为 常规 加 
密 技术 与 密 钥 加 密 技术 , 密 钥 加 密 技 术 又 分 为 对 称 密 钥 加 密 技 术 与 非 对 称 密 钥 加 密 技 术 。 
在 实际 应 用 中 人 们 通常 将 常规 密码 和 公 钥 密码 结合 在 一 起 使 用 。 

2. 运行 安全 设计 

运行 安全 是 指 信息 系统 在 运行 过 程 中 的 安全 必须 得 到 保证 ,使 之 能 对 信息 和 数据 进行 
正确 的 处 理 , 正 常 发 挥 系统 的 各 项 功能 。 和 运行 安 全 的 主要 措施 包括 风险 分 析 、 审 计 跟 踪 、 备 
份 与 恢复 应急 4 个 方面 。 

1) 风险 分 析 

信息 系统 的 安全 风险 来 自 于 资产 .威胁 及 脆弱 性 。 资 产 是 一 个 完整 信息 系统 的 组 成 部 
分 ,是 风险 评估 的 对 象 ,信息 系统 的 资产 包括 物理 资产 .软件 资产 .数据 资产 及 其 他 资产 。 人 
为 或 突 发 性 的 安全 事件 对 资产 破坏 的 后 果 称 为 影响 ,可 以 表述 为 资产 的 相对 价值 。 威 胁 是 
指 可 能 对 资产 或 组 织造 成 损害 事故 的 潜在 因素 ,威胁 是 客观 存在 的 ,不 可 能 被 消灭 或 改变 。 
更 确切 地 说 , 某 一 特定 资产 必然 面临 某 些 特定 的 威胁 。 脆 弱 性 是 指 资产 中 能 被 威胁 利用 的 
弱点 ,弱点 可 能 位 于 包括 物理 环境 .业务 流程 .组 织 机 构 、 软 硬件 .人 员 等 各 个 方面 。 资 产 的 
脆弱 性 是 资产 所 特有 的 ,只 能 通过 相应 的 安全 措施 降低 其 脆弱 程度 ,而 不 能 够 完全 被 消除 。 
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风险 是 威胁 事件 发 生 的 可 能 性 与 后 果 的 结合 ,威胁 .影响 和 脆弱 性 构成 风险 的 主要 因素 , 它 
们 紧 紧 围绕 资产 这 个 中 心 。 风 险 分 析 是 对 信息 和 资产 的 威胁 、. 影 响 和 脆弱 性 及 三 者 发 生 可 
能 性 的 计算 和 分 析 。 

2) 审计 跟踪 

信息 系统 审计 跟踪 是 一 个 通过 收集 和 评价 审计 证 据 , 判 断 信息 系统 是 否 能 够 维护 数据 
的 完整 性 、 保 护 资产 的 安全 性 及 可 用 性 ,被 审计 单位 的 目标 是 否 得 以 有 效 地 实现 的 过 程 。 信 
息 系统 审计 跟踪 关注 的 重点 是 系统 功能 与 系统 需求 是 否 基本 一 致 .信息 处 理 的 关键 过 程 是 
否 合理 ,初步 评价 信息 系统 的 运用 效果 。 

3) 备份 与 恢复 

信息 系统 在 遭受 自然 或 人 为 灾害 后 ,重新 启动 系统 的 软 硬 件 设备 及 数据 恢复 正常 运行 
的 能 力 , 即 系统 的 灾难 恢复 能 力 。 灾 难 备份 与 恢复 是 信息 系统 业务 连续 性 规划 的 重要 部 分 ， 
涉及 灾难 风险 评估 与 防范 ,特别 是 关键 性 业务 数据 ,应 用 ,流程 的 记录 、 备 份 和 保护 。 

对 于 信息 系统 中 的 网 络 设备 、 网 络 线路 .加 密 设 备 . 计 算 机 设备 .应 用 系统 数据库、 维护 
人 员 ,都 要 采取 备份 措施 ,确保 在 需要 时 有 备用 资源 可 供 调配 和 恢复 。 信 息 系统 备份 手段 根 
据 不 同 信息 的 重要 程度 及 恢复 时 间 要 求 分 为 实时 热 备 份 和 冷 备 份 。 同 一 平台 的 系统 应 尽量 
使 用 同样 的 备份 手段 ,便于 管理 和 使 用 。 信 息 系统 的 备份 与 恢复 管理 需要 指定 一 个 部 门 专 
门 负 责 , 并 制定 数据 备份 计划 ,对 数据 备份 的 时 间 、 内 容 、 级 别 、 人 员 ,保管 期 限 、 异 地 存 取 和 
销毁 手续 等 进行 明确 规定 。 

4) 应 急 响 应 

应 急 响应 计划 是 在 意外 事件 发 生 时 ,快速 而 准确 地 确认 事件 性 质 , 采 取 积 极 应 对 措施 来 控 
制 事件 影响 的 进一步 扩大 、 阻 断 事 件 进 程 , 必 要 时 ,进行 安全 反击 .追踪 攻击 点 ,占领 主动 地 位 。 

当 入 侵 攻 击发 生 时 ,一 个 简单 的 应 急 响 应 过 程 包括 以 下 几 步 : 

(1) 一 旦 检测 到 入 侵 攻击 ,立即 启用 应 急 响应 策略 。 

(2) 识别 事件 类 型 和 攻击 特征 。 

(3) 迅速 启动 其 他 更 加 严格 的 防御 措施 (如 防火 墙 规 则 )。 

(4) 关闭 非 关键 运行 系统 。 

(5) 针对 攻击 来 源 升级 或 修补 系统 漏洞 。 

(6) 启用 紧急 情况 下 的 接管 系统 。 

(7) 车 时 间 和 技术 条 件 允 许 , 立 即 分 析 入 侵 信 息 并 追踪 入 侵 来 源 。 

3. 物理 安全 设计 

物理 安全 主要 是 通过 实施 物理 隔离 实现 网 络 系统 安全 ,是 整个 信息 系统 安全 的 前 提 , 其 
目的 是 保护 信息 系统 所 处 环境 、. 相 关 的 硬件 设备 .存储 介质 以 及 通信 线路 等 免 受 自 然 灾 害 、 
人 为 破坏 和 搭 线 窃听 攻击 。 

物理 安全 措施 主要 包括 安全 制度 、 数 据 备份 ,辐射 防护 、 屏 幕 口令 防护 .隐藏 销 毁 、 状 态 
检测 ,报警 确认 、 应 急 恢复 、 加 强 机 房管 理 、 安 全 组 织 和 人 事 管理 等 手段 。 

物理 安全 主要 考虑 的 问题 是 环境 、 场 地 ,设备 的 安全 及 物理 访问 控制 和 应 急 处 理 计划 
等 ,在 整个 信息 系统 中 占据 重要 地 位 。 它 主要 包括 以 下 几 个 方面 的 内 容 。 

1) 机 房 环境 安全 

机 房 环境 安全 涉及 机 房 安 全 技术 及 标准 ,机 房 安全 技术 涵盖 范围 极为 广泛 ,机 房 从 内 至 
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外 ,从 设备 设施 到 管理 制度 都 属于 机 房 安全 技术 研究 的 范畴 。 包 括 计算 机 机 房 的 安全 保卫 
技术 ,温度 .湿度 和 洁净 度 等 环境 条 件 保 持 技 术 , 机 房 用 电 安全 技术 和 安全 管理 技术 。 计 算 
机 场地 建设 应 遵循 国家 标准 (计算 机 场地 通用 规范 》 和 《计算 站 场地 安全 要 求 》, 满 足 防火 、 防 
磁 、 防 水 、 防 电击 、 防 虫害 等 要 求 ,并 配备 相应 的 设备 。 

2) 设备 安全 

信息 系统 的 硬件 设备 价格 昂贵 ,一 旦 被 损害 将 可 能 造成 严重 的 后 果 和 经 济 损失 ,因此 必 
须 加 强 对 硬件 设备 的 使 用 管理 ,坚持 做 好 硬件 设备 的 日 志 维 护 和 保养 工作 。 同 时 ,计算 机 系 
统 的 各 种 电子 设备 工作 时 会 受到 电磁 波 干扰 , 当 电磁 干扰 达到 一 定 程 度 时 就 会 影响 设备 的 
正常 工作 ,因此 要 做 好 电磁 兼容 和 电磁 辐射 的 防护 工作 。 

3) 介质 安全 

系统 的 数据 信息 要 存储 在 各 种 介质 上 ,常用 的 介质 有 硬盘 、 磁 盘 、 光 盘 、 磁 带 、 移 动 存储 
介质 等 ,必须 要 做 好 介质 的 安全 管理 。 移 动 存储 介质 常用 于 开放 环境 中 ,易于 丢失 ,存储 的 
数据 易于 传播 和 复制 ,自身 缺乏 有 效 的 审计 和 监管 手段 ,整个 数据 移动 通道 的 安全 保密 工作 
难以 保障 。 一 旦 发 生 数据 泄露 与 丢失 ,将 给 部 门 或 个 人 造成 不 可 估量 的 经 济 损失 ,甚至 可 能 
是 政治 损失 。 因 此 ,针对 移动 介质 的 安全 解决 方案 是 当务之急 。 

4) 通信 线路 安全 

通信 线路 的 安全 涉及 电缆 加 压 技术 .光纤 通信 技术 .Modem 通信 安全 等 。 

物理 完全 是 相对 的 ,在 设计 物理 安全 解决 方案 时 ,要 综合 考虑 需要 保护 的 硬件 、 软 件 及 
信息 价值 ,从 而 采取 适当 的 物理 保护 措施 。 


5.1.3 安全 技术 设计 


安全 技术 体系 能 够 在 技术 保障 方面 为 信息 系统 提供 深入 全 面 的 安全 保护 。 信 息 系 统 的 
安全 技术 主要 有 两 个 研究 领域 : 安全 防护 技术 和 安全 管理 技术 。 

1. 安全 防护 技术 

安全 防护 技术 是 为 保障 信息 系统 稳定 .正常 运行 ,并 防止 外 部 人 侵 、 攻 击 、 破 坏 和 窃取 信 
息 的 防护 技术 。 也 就 是 狭义 上 的 “安全 技术 ”。 安 全 防护 技术 包括 物理 安全 技术 和 系统 安全 
技术 两 大 类 。 物 理 安全 技术 在 5.1.2 节 有 相关 介绍 。 系 统 安全 技术 考虑 的 是 信息 系统 和 安 
全 组 件 的 操作 系统 的 安全 性 ,为 了 使 信息 系统 安全 组 件 所 处 的 软件 平台 的 安全 等 级 达到 相 
应 的 安全 需求 ,需要 考虑 3 方面 因素 : 一 是 操作 系统 本 身 的 脆弱 性 和 漏洞 引发 的 安全 风险 ， 
主要 包括 身份 认证 ,访问 控制 ,系统 漏洞 等 ; 二 是 对 操作 系统 的 安全 配置 问题 ; 三 是 病毒 对 
操作 系统 的 威胁 。 

同时 ,信息 系统 在 建立 的 过 程 中 应 遵循 多 种 安全 防护 技术 标准 ,如 图 5. 1 所 示 。 

2. 安全 管理 技术 

协调 信息 系统 各 安全 组 件 的 操作 与 活动 并 完成 安全 保障 任务 所 需要 的 组 织 管理 技能 称 
为 安全 管理 技术 。 安 全 管理 技术 体系 结构 是 要 说 明 安 全 系统 实现 的 技术 指南 和 规则 ,包括 
安全 服务 和 安全 接口 的 技术 规范 。 其 相对 应 的 安全 技术 视图 的 组 成 部 件 应 该 包括 与 安全 系 
统 相 关 的 技术 标准 和 规范 。 
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站 终端 系统 安全 标准 | 一 -| 主机 安全 标准 | | PKI 安 全 标准 
VPN 安 全 标准 安全 协议 
信息 传输 安全 标准 | [入侵 检测 系统 标准 | 
[安全 标 惟 | | 站 
网 际 互联 安全 标准 


[做 输 介质 安全 标准 


中 应 用 软件 安全 标准 一 | Web 安 全 标准 


分 布 式 计算 服务 安全 标准 
安全 评价 标准 


认证 安全 标准 


信息 处 理 安全 标准 


操作 系统 安全 标准 


软件 工程 服务 安全 标准 站 GSS-API 安 全 标准 
图 5.1 安全 防护 技术 标准 的 层次 结构 


安全 技术 不 仅 是 确定 信息 系统 安全 目标 的 重要 因素 ,同时 也 是 达到 这 些 安 全 目标 的 具 
体 实现 手段 。 作 为 安全 设计 的 重要 依据 ,安全 技术 视图 根据 设计 过 程 中 可 能 遇 到 的 工程 或 
技术 问题 ,明确 系统 安全 风险 ,并 增进 安全 技术 的 复 用 ,方便 系统 的 定义 .批准 .实现 和 改进 ， 
从 而 降低 系统 实现 的 成 本 。 

安全 技术 视图 的 有 效 性 和 全 面 性 直接 影响 到 安全 系统 的 互 操作 性 和 保障 能 力 , 是 开发 
和 维护 安全 系统 的 指导 性 文件 。 随 着 科技 的 进步 与 发 展 ,新 技术 的 不 断 涌现 导致 日 的 技术 
逐渐 被 淘汰 ,安全 技术 呈现 出 很 强 的 时 效 性 。 因 此 ,安全 技术 视图 的 构建 应 该 从 时 效 性 的 角 
度 出 发 ,充分 体现 其 时 间 特 性 。 

为 了 能 够 清晰 明了 地 设计 信息 系统 的 安全 体系 结构 ,系统 地 描述 安全 技术 视图 ,下 面 给 
出 了 构建 安全 技术 视图 的 基本 步骤 。 

(1) 确定 实施 范围 。 

根据 安全 服务 的 设 定 .安全 机 制 的 选择 .安全 部 件 的 设置 以 及 安全 管理 操作 的 要 求 , 确 
定安 全 技术 视图 的 覆盖 范围 和 涉及 的 安全 技术 种 类 。 

(2) 选择 技术 标准 。 

针对 各 安全 技术 领域 ,选择 应 遵守 的 技术 标准 ,用 安全 技术 框架 描述 ,注意 应 该 选择 国 
际 通用 的 .成熟 的 技术 标准 。 统 一 对 相关 术语 的 认识 ,尽量 参照 相关 标准 对 术语 的 定义 ,可 
以 用 安全 技术 术语 表 描 述 。 

(3) 预测 发 展 趋势 。 

用 安全 技术 预测 的 方法 对 相关 领域 的 技术 和 标准 的 发 展 趋势 进行 预测 ,其 中 包括 对 现 
有 技术 或 标准 可 能 被 淘汰 的 时 间 判 断 , 对 新 技术 或 标准 的 可 获得 性 预测 ,对 某 种 标准 的 市 场 
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认可 度 的 判定 ,以 及 对 预测 结果 可 信 度 的 描述 。 

(4) 描述 技术 指标 。 

用 安全 技术 指标 说 明 的 方法 对 安全 系统 各 组 成 部 件 的 技术 指标 进行 描述 。 安 全 技术 指 
标的 描述 可 以 为 系统 部 件 的 选 购 . 开 发 .组 合 ,管理 以 及 更 新 和 升级 提供 指导 。 

(5) 描述 并 评价 安全 技术 视图 。 

结合 以 上 几 个 步骤 的 设计 ,描述 并 评价 安全 技术 视图 ,从 而 确定 安全 系统 的 技术 水 平 以 
及 进一步 的 改进 方向 。 


5.2 信息 安全 工程 系统 设计 


在 开发 信息 系统 功能 体系 结构 和 物理 体系 结构 期 间 ,ISSE 小 组 为 客户 提供 安全 性 分 析 
与 建议 。 开 发 过 程 反复 进行 ,涉及 系统 多 个 安全 事件 及 安全 工程 生命 周期 的 若干 阶段 。 
ISSE 小 组 根据 客户 提出 的 系统 需求 ,并 采用 仿真 、 建 模 等 技术 ,完成 信息 安全 工程 系统 设计 
开 作 。 

首先 分 析 多 种 设计 类 型 ,以 便 将 系统 安全 需求 与 各 类 安全 服务 相关 联 ,然后 再 把 这 些 安 
全 服务 映射 到 相应 的 安全 机 制 中 。 然 而 ,这 样 做 对 有 些 项 目 并 不 一 定 会 有 帮助 ,例如 ,有 的 
项 目 要 求 开发 新 的 应 用 软件 或 硬件 ,因此 ,“ 可 重用 性 ”的 安全 协议 和 机 制 将 不 再 适用 。 在 安 
全 服务 的 实现 阶段 ,系统 体系 结构 的 安全 解决 方案 可 以 参考 目标 安全 体系 结构 (Goal 
Security Architecture,GSA)。GSA 中 可 用 的 项 目 主 题 包括 : 

(1) 国防 目标 安全 体系 结构 (DoD Goal Security Architecture, DGSA) 安 全 需求 一 一 策 
咯 、 需 求 以 及 导出 的 需求 。 

(2) 安全 概念 和 安全 角度 。 

(3) 安全 管理 概念 和 关系 。 

(4) 安全 学 说 : 能 够 提供 安全 服务 的 安全 机 制 学 说 。 

(5) 端 系统 和 中 继 系 统 。 

(6) 传输 系统 主题 。 

(7) 商业 现货 (Commercial-Off-The-Shelf,COTS)。 

根据 当前 解决 方案 所 存在 的 风险 以 及 前 期 的 经 验 教训 ,ISSE 小 组 重点 对 系统 结构 进行 
研究 ,识别 当前 体系 结构 所 面临 的 威胁 与 脆弱 性 ,并 提出 建议 性 的 保护 措施 和 可 选择 解决 
方案 。 

系统 可 以 通过 采用 不 同类 型 的 安全 机 制 或 实现 方法 等 保护 措施 来 满足 安全 需求 ,同时 ， 
车 两 个 以 上 的 系统 需要 进行 交互 ,那么 一 定 要 建立 相应 的 交互 规则 和 接口 协议 。 当 具有 不 
同安 全 需求 与 策略 的 系统 的 运行 受到 限制 时 ,或 者 新 连接 可 能 引起 附加 风险 或 与 当前 系统 
或 基础 设施 发 生 冲 突 时 ,需要 进行 协商 和 折 中 分 析 以 支持 交互 ,尤其 需要 建立 交互 规则 和 接 
口 协议 。 

系统 开发 完成 之 后 再 添加 规划 之 外 的 防御 措施 或 保护 措施 ,一 般 很 难 实现 与 系统 的 理 
想 结合 ,操作 起 来 成 本 很 高 ,并 且 不 一 定 能 达到 预期 的 效果 。 然 而 ,信息 技术 发 展 迅速 导致 
信息 系统 安全 需求 随 着 时 间 变 化 很 快 , 人 们 很 难 预先 完全 掌握 系统 的 安全 需求 。 因 此 ,需要 
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建立 一 个 可 以 进行 开发 并 动态 修改 系统 需求 的 基础 体系 结构 。 

用 文档 来 形式 化 描述 安全 设计 ,并 说 明 要 满足 的 安全 需求 及 理由 。 尽 管 在 安全 验证 和 
风险 评估 过 程 中 ,都 对 信息 系统 进行 了 独立 的 分 析 与 评价 ,但 是 对 于 包括 ISSE 参与 者 的 系 
统 设计 小 组 来 说 ,更 重要 的 是 系统 地 描述 系统 安全 状态 并 将 其 列 人 系统 设计 文档 ,为 设计 评 
审 提供 指导 。 

ISSE 小 组 在 任何 时 候 都 应 当 考虑 采用 新 技术 来 满足 安全 需求 的 必要 性 ,对 于 任何 有 和 希 
望 使 系统 概念 增值 的 安全 新 技术 ,ISSE 小 组 都 必须 对 其 进行 调研 ,包括 使 用 原型 法 进行 系 
统 的 运行 评估 应用、 测试 等 ,并 预 估 使 用 新 技术 对 信息 系统 造成 的 风险 ,并 考虑 降低 安全 风 
险 等 级 的 方法 ,确保 能 成 功 地 将 该 项 新 技术 集成 到 系统 设计 中 去 。 

在 系统 开发 早期 ,ISSE 小 组 可 能 仅仅 关注 需要 什么 技术 ,而 不 会 事先 识别 出 所 需 的 基 
本 关键 技术 。 而 在 系统 生命 周期 的 设计 、 实 施 以 及 后 续 生 产 或 修改 过 程 中 ,预先 识别 并 建立 
起 基本 关键 技术 是 非常 重要 的 。 为 了 满足 特殊 安全 需求 所 需要 开发 的 新 技术 ,需要 给 予 足 
够 的 时 间 来 保证 该 项 技术 的 研究 与 开发 ,同时 还 要 保证 其 他 工作 项 目的 进度 ,不 能 与 客户 要 
求 的 进度 发 生 冲 突 。ISSE 小 组 必须 要 保证 采用 新 技术 的 收益 大 于 由 于 依赖 该 技术 所 带 来 
的 风险 和 增加 的 成 本 。 一 般 情况 下 ,采用 新 技术 或 新 产品 所 产生 的 依赖 将 会 对 整个 技术 带 
来 额外 的 费用 和 技术 风险 ,并 且 有 可 能 影响 项 目 实施 进度 。 因 此 ,必须 仔细 并 长 期 监控 这 些 
新 技术 或 新 产品 。 将 新 技术 加 入 系统 计划 之 前 ,ISSE 小 组 应 该 将 其 带 来 的 所 有 风险 和 潜在 
利益 告知 客户 ,并 准备 好 后 备 产 品 和 解决 方案 ,以 便 及 时 处 理由 于 使 用 新 技术 或 新 产品 所 带 
来 的 技术 问题 或 偶然 事故 。 例 如 , 某 些 新 的 密码 算法 的 研究 与 开发 以 及 安全 性 评估 需要 花 
费 大 量 的 时 间 与 费用 ,因此 会 影响 到 系统 的 进度 与 成 本 。 

ISSE 小 组 要 明确 系统 设计 中 影响 和 限制 所 需 安全 服务 实现 的 约束 因素 ,许多 因素 都 会 
对 诸如 系统 的 设计 过 程 或 系统 如 何 满足 其 安全 需求 等 造成 约束 ,如 系统 的 运行 模式 (分 级 模 
式 、 专 用 模式 或 高 层 模式 )、 运 行 环境 、 业 务 功能 等 因素 都 可 能 对 系统 设计 造成 约束 。 互 操作 
性 和 接口 特性 也 可 能 是 影响 设计 的 约束 因素 。 系 统 设计 及 运行 的 安全 状况 也 可 能 受到 某 些 
支持 性 需求 的 约束 ,这 些 需求 包括 生存 性 需求 .可 移植 性 需求 后勤 支持 需求 ,情报 和 通信 接 
口 需求 .标准 化 和 互 操作 需求 等 。 

随 着 系统 设计 活动 的 不 断 推进 ,ISSE 小 组 还 需要 将 由 于 设计 的 选择 而 引出 的 新 安全 需 
求 向 需求 定义 函数 做 出 反馈 ,并 将 其 准确 定位 到 可 追踪 体系 与 决策 数据 库 中 。 例 如 ,系统 选 
择 数 据 高 度 机 密 保护 方案 ,那么 可 能 要 求 将 保护 数据 抗 自 改作 为 附加 需求 。 

在 系统 工程 周期 内 ,ISSE 小 组 将 通过 培训 、 支 持 、 运 行 以 及 其 他 系统 工程 功能 的 并 发 应 
用 ,开发 系统 设计 规划 。 同 时 ,深入 研究 学 习 开发 活动 ,进而 评估 系统 安全 解决 方案 的 有 效 
性 和 适用 性 。 

为 满足 安全 需求 ,ISSE 小 组 应 该 从 技术 和 非 技术 两 个 方面 进行 考虑 。 例 如 ,为 某 信息 
提供 机 密 性 保护 ,可 以 采用 加 密 技术 来 满足 其 安全 需求 ,也 可 以 采用 非 技 术 性 解决 方案 ,如 
信息 隐藏 或 其 他 物理 手段 。 技 术 性 解决 方案 在 安全 技术 设计 中 已 经 一 一 做 了 介绍 。 非 技术 
性 解决 方案 包括 过 程控 制 ( 如 人 事 及 操作 程序 的 安全 控制 ) 和 可 信和 软件 开发 方法 论 (Trusted 
Software Development Methodology,TSDM) 中 的 非 技 术 要 素 等 。 
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5.3 生命 周期 安全 设计 


信息 系统 安全 的 生命 周期 包括 任务 阶段 .概念 阶段 需求 阶段 、 系 统 设计 阶段 .配置 审计 
阶段 .运行 与 维护 阶段 。 从 系统 工程 的 角度 分 析 , 信 息 系统 安全 设计 应 涵盖 对 生命 周期 各 阶 
段 的 安全 分 析 与 设计 。 


5.3.1 任务 阶段 的 安全 设计 


任务 阶段 的 目的 是 确定 系统 所 要 完成 的 任务 ,通过 对 任务 需求 的 考察 与 分 析 ,确定 信息 
系统 所 应 具备 的 安全 能 力 ,并 提出 可 选 方案 。 该 阶段 很 少 用 到 安全 设计 活动 ,但 在 准备 进行 
备 选 系统 评审 (Alternative System Review, ASR) 时 ,系统 工程 和 ISSE 小 组 应 该 开发 若干 
个 备 选 的 系统 设计 。 这 些 备 选 方案 是 由 过 程 和 产品 解决 方案 相互 融合 产生 ,每 个 备 选 方案 
都 应 与 MNS 业务 需求 说 明 中 所 描述 的 高 级 业务 能 力 保持 一 致 。 


5.3.2 概念 阶段 的 安全 设计 


为 了 完成 进一步 的 开发 与 设计 ,需要 选择 最 好 的 系统 方法 进行 备 选 系统 评审 。 为 了 支 
持 ASR 时 的 决策 ,系统 工程 必须 对 每 一 个 概念 级 备 选 方案 进行 充分 分 析 ,并 提炼 出 安全 体 
系 结构 ,为 备 选 方案 准备 一 组 可 行 的 系统 运行 需求 。 早 期 ,通常 由 不 成 熟 的 功能 结构 体系 和 
物理 结构 体系 草案 构成 概念 级 系统 策略 。 由 于 项 目 所 处 环境 的 不 同 , 概 念 级 设计 可 能 很 不 
正规 ,也 可 能 非常 完善 。 但 无 论 概 念 级 设计 是 否 完美 ,由 于 在 系统 设计 阶段 需要 提交 一 份 待 
批准 的 设计 文件 ,因此 该 阶段 所 承担 的 设计 等 级 要 低 得 多 。 

系统 工程 师 将 对 在 开发 体系 结构 的 备 选 方案 进行 反复 比较 并 完成 折 中 分 析 。 同 时 ， 
ISSE 小 组 必须 要 确保 所 开发 的 体系 结构 已 经 足够 精细 ,才能 够 保证 安全 风险 评估 进展 顺 
利 , 并 支持 ASR 。 

ISSE 小 组 应 该 将 系统 功能 分 解 , 并 将 其 配置 调整 到 较 低级 别 上 ,直到 支持 当前 正在 进 
行 的 评审 分 析 ,满足 ASR 的 决策 要 求 。 如 果 选 择 自动 化 工具 并 使 用 得 当 , 将 会 得 到 事 半 功 
们 的 效果 。ISSE 小 组 在 选择 方法 论 和 工具 时 的 原则 是 : 首先 考虑 并 遵循 客户 意见 ; 如 若 不 
行 ,就 考虑 上 级 机 构 的 建议 。 


5.3.3 需求 阶段 的 安全 设计 


需求 阶段 的 目的 是 分 析 安 全 需求 和 研究 安全 需求 概念 。 根 据 提交 的 安全 需求 说 明 书 进 
行 审核 。 系 统 工程 小 组 在 需求 阶段 完成 系统 的 高 层 设计 ,并 形成 符合 技术 规划 的 设计 文档 。 
随 着 系统 功能 评审 (System Functional Review,SFR) 的 结束 ,系统 设计 的 基线 也 随 之 完成 
并 被 批准 ,此 时 ,应 该 审核 与 备 选 策略 一 致 的 结构 体系 方案 。 例 如 ,假如 经 过 评审 后 的 概念 
阶段 选择 了 广域网 策略 ,那么 在 需求 阶段 将 会 选择 广域网 技术 并 对 其 体系 结构 进行 取舍 。 

任务 阶段 及 概念 阶段 的 安全 设计 活动 在 需求 阶段 仍然 要 继续 进行 ,继续 分 解 功 能 体系 
结构 和 物理 体系 结构 ,直到 分 解 成 重要 的 组 成 单元 ,以 便 决 定 是 制造 还 是 购买 。ISSE 小 组 
应 该 保持 安全 服务 的 强度 ,不 能 因为 支持 这 些 安全 服务 的 配置 就 将 其 功能 强度 削弱 。 
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5.3.4 系统 设计 阶段 的 安全 设计 


系统 设计 阶段 包含 两 个 部 分 的 内 容 : 概要 设计 和 详细 设计 。 概 要 设计 的 目的 是 确定 项 
层 安 全 体系 结构 ,并 根据 提交 的 安全 需求 功能 说 明 书 进行 审核 。 而 详细 设计 阶段 的 安全 设 
计 最 为 复杂 ,是 信息 系统 安全 性 设计 成 功 与 否 的 关键 。 

系统 设计 阶段 的 早期 就 要 进行 系统 集成 , 当 功能 需求 部 署 到 配置 项 目 CI 上 时 ,要 用 到 
接口 控制 规范 。ISSE 小 组 应 该 在 接口 控制 规范 中 指出 这 些 接口 实现 安全 服务 的 方法 ,安全 
服务 应 当 包 括 扩展 的 基础 设施 和 业务 环境 。 例 如 定义 接口 协议 .制定 标签 体系 结构 的 标准 
等 。 如 果 系 统 与 网 络 基础 设施 相连 接 , 那 么 网 络 环境 中 所 用 到 的 体系 结构 将 会 对 安全 需求 
造成 约束 。 通 过 指定 内 部 和 外 部 接口 的 安全 需求 ,系统 与 互 连 的 其 他 系统 之 间 能 够 在 实现 
上 保持 一 致 ,有 利于 集成 业务 的 完成 与 实现 。ISSE 小 组 还 要 验证 系统 组 件 ,并 根据 组 件 与 
安全 接口 的 约 东 条 件 进行 集成 和 使 用 。 

通常 由 基于 可 推荐 产品 的 层次 体系 来 决定 CI 是 制造 还 是 购买 获得 ,该 层次 体系 的 范围 
从 优先 推荐 使 用 商业 销售 与 支持 的 软 硬 件 产 品 起 ,不 断 降低 为 使 用 政府 现货 (Government 
Off-The-Shelf,GOTS) 项 目 ,再 到 修改 的 项 目 , 直 到 定制 开发 的 项 目 。 工 程 项 目的 开发 多 是 
针对 实际 应 用 ,很 少 有 项 目 不 做 任何 针对 应 用 的 开发 。 

要 做 出 是 制造 还 是 购买 的 决策 , 折 中 分 析 必 不 可 少 。 在 进行 折 中 分 析 时 ,ISSE 小 组 必 
须要 保证 所 有 安全 因素 都 被 包括 到 总 体 分 析 中 ,并 确保 体系 结构 全 面 而 且 各 项 功能 、 特 性 、 
费用 、 进 度 和 风险 之 间 的 协调 平衡 。 如 果 所 描述 的 功能 保障 等 级 是 由 不 成 熟 的 CI 所 提供 ， 
那么 就 应 当 考 虑 购买 而 非 制造 。 如 果 通 过 折 中 分 析 以 后 做 出 定制 开发 的 决策 ,那么 需要 考 
虚 包 括 制造 环境 和 装运 过 程 在 内 的 各 种 因素 ,以 保证 不 降低 预期 的 保障 等 级 。 根 据 要 开发 
的 CI 的 敏感 等 级 ,选择 合适 的 制造 者 。 

在 系统 设计 阶段 ,将 提出 制造 或 购买 的 建议 。 但 是 ,通常 会 在 过 程 结 束 之 后 才 做 出 最 终 
决定 。 因 为 在 此 之 前 ,ISSE 小 组 还 要 为 在 折 中 分 析 期 间 未 包含 的 负面 因素 提供 解决 方案 。 
例如 ,如 果 折 中 分 析 得 出 的 决策 是 购买 商用 软件 ,但 该 软件 可 能 会 包含 潜在 的 病毒 ,这 是 一 
个 很 重大 的 负面 因素 。 在 软件 购 进 以 后 ,ISSE 小 组 可 提出 进行 病毒 扫描 和 清除 的 建议 ,以 
减少 由 购买 软件 所 带 来 的 安全 风险 。 

ISSE 小 组 将 对 现 有 产品 进行 调查 分 析 以 确定 其 是 否 满足 组 件 或 CI 的 需求 ,从 而 对 折 
中 分 析 的 决策 做 出 支持 。 调 查分 析 的 对 象 包括 信息 系统 安全 产品 目录 、 可 信和 产品 评估 目录 、 
供应 商 产品 目录 、 信 息 系统 安全 知识 库 等 。 如 果 系 统 人 允许 ,那么 一 定 要 制定 一 组 可 行 的 备 选 
方案 ,而 不 应 该 仅仅 提供 一 个 候选 方案 。 对 于 政府 或 工业 界 先期 开发 的 新 产品 和 新 技术 ,如 果 
它们 所 带 来 的 技术 风险 及 其 时 间 表 是 系统 开发 可 以 接受 的 ,那么 ISSE 小 组 也 要 考虑 使 用 。 

工程 师 在 做 出 制造 或 购买 决策 时 ,要 对 产品 的 安全 需求 进行 描述 ,形成 安全 评估 报告 。 
为 了 做 出 准确 的 ISSE 制造 或 购买 决策 ,对 现 有 产品 的 了 解 与 认 知 必 不 可 少 。 对 于 某 些 产 
品 , 有 关 部 门 的 安全 评估 报告 有 助 于 决策 的 形成 ,安全 评估 报告 涵盖 了 产品 的 功能 、 使 用 信息 
以 及 产品 的 脆弱 性 。 对 于 不 能 进行 安全 评估 的 新 技术 .系统 项 目 办 事 机 构 (SPO) 会 将 新 软件 
或 设备 与 预 估 的 风险 相关 值 和 安全 特性 进行 权衡 比较 ,从 而 做 出 是 购买 还 是 定制 的 决策 。 


5.3.5 配置 审计 阶段 的 安全 设计 
配置 审计 阶段 的 主要 任务 是 评估 并 更 新 系统 安全 威胁 ,预测 系统 的 使 用 寿命 , 找 出 安全 
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方案 实现 后 系统 和 配置 项 的 安全 需求 和 限制 。 同 时 跟踪 与 本 阶段 相关 的 安全 保证 机 制 , 进 
行 安全 风险 评估 。 此 外 ,配置 审计 阶段 还 要 对 系统 进行 安全 测试 ,提交 系统 安全 测试 .配置 
和 验证 说 明 书 。 

最 终 的 购买 或 定制 的 决策 必须 要 通过 系统 工程 师 的 初步 设计 评审 (Preliminary Design 
Review,PDR) 以 及 对 CI 之 间接 口 策略 的 备用 方案 的 反复 研究 做 出 。 以 前 的 活动 集中 在 CI 
的 设计 或 选择 以 及 完整 的 CI 级 配置 基线 集 的 建立 上 ,该 阶段 宣告 结束 的 标志 是 系统 验证 评 
审 和 配置 审计 的 成 功 实 现 。 以 后 阶段 的 活动 则 集中 于 CI 集成 测试 系统 的 建立 与 获取 上 。 

CI 集成 开发 与 测试 时 对 系统 设计 所 做 出 的 任何 修改 ,ISSE 小 组 都 应 当 进行 审查 。 一 
且 CI 引起 系统 的 附加 需求 ,ISSE 小 组 就 应 该 评估 其 影响 并 更 新 系统 设计 以 满足 附加 安全 
需求 。 例 如 , 当 系 统 选择 其 他 有 优势 的 COTS 时 ,从 安全 的 角度 来 看 ,可 能 存在 一 些 脆弱 的 
行为 和 特性 ,并 且 会 影响 到 其 他 系统 过 程 解决 方案 或 CI 产品 的 安全 需求 ,因此 需要 增加 附 
加 安全 需求 。 对 于 SPO 支持 的 相关 CI 技术 ,ISSE 小 组 应 当 进行 审查 ,并 对 其 进行 信息 系 
统 安全 分 析 , 当 集成 为 整体 系统 时 ,要 保证 CI 满足 安全 需求 。 


5.3.6 运行 与 维护 阶段 的 安全 设计 


运行 与 维护 阶段 要 实施 安全 操作 和 生命 周期 支持 ,以 保证 安全 级 别 在 系统 运行 期 间 不 
会 下 降 。 在 系统 运行 与 维护 阶段 内 ,为 了 方便 提出 适合 系统 修改 的 设计 方案 以 及 对 预定 计 
划 的 改进 措施 ,要 反复 进行 安全 设计 活动 ,并 进一步 讨论 系统 修改 问题 。 


5.4 本 童 小 结 


本 章 主要 介绍 了 信息 系统 安全 设计 活动 ,安全 体系 结构 描述 了 信息 系统 的 安全 机 制 ` 安 
全 服务 .安全 特性 以 及 满足 安全 需求 的 各 基本 要 素 之 间 的 关系 ,安全 设计 则 提供 了 对 那些 满 
足 系统 需求 的 安全 服务 .安全 机 制 和 安全 特性 的 深刻 理解 。 本 章 从 安全 体系 结构 和 信息 系 
统 安全 生命 周期 两 个 角度 ,分 别 对 信息 系统 安全 设计 做 出 分 析 。 首 先 分 析 系 统 安全 体系 结 
构 , 信 息 系统 安全 设计 包括 对 安全 系统 、 安 全 功能 及 安全 技术 3 方面 的 安全 设计 。 最 后 分 析 
生命 周期 的 各 阶段 的 安全 设计 活动 ,包括 任务 阶段 、 概 念 阶段 、 需 求 阶段 .系统 设计 阶段 . 配 
置 审计 阶段 以 及 运行 与 维护 阶段 的 安全 设计 活动 。 
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. 简 述 信息 系统 安全 设计 的 意义 。 

. 简 述 安全 体系 结构 设计 过 程 。 

. 简 述 系统 设计 的 功能 实现 。 

. 安全 技术 设计 包括 哪些 方面 ? 

. 通过 学 习 本 章 的 内 容 , 简 要 介绍 信息 系统 生命 周期 安全 设计 。 
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第 6 章 信息 系统 的 安全 性 测试 


信息 系统 是 一 个 复杂 系统 , 它 由 众多 部 件 构成 ,其 安全 测试 存在 着 很 大 的 挑战 。 目 前 ， 
国内 外 已 有 比较 成 熟 的 关于 安全 产品 的 测试 评估 的 标准 及 方法 。 与 安全 产品 的 测试 不 同 ， 
信息 系统 的 安全 性 测试 都 还 处 于 探索 阶段 ,国内 外 有 许多 安全 组 织 和 机 构 都 在 积极 地 研究 
信息 系统 安全 测试 的 方法 和 实践 ,但 仍然 没有 形成 比较 统一 的 测试 标准 。 在 信息 系统 安全 
评估 方面 我 国 已 有 一 些 标准 和 指南 ,但 在 信息 系统 安全 性 测试 方面 仍然 缺乏 相应 的 规范 和 
标准 。 国 外 关于 信息 系统 安全 测试 的 公开 文献 都 缺乏 对 安全 测试 的 整体 研究 。 


6.1 信息 系统 测试 概述 


系统 测试 是 这 样 一 个 过 程 , 它 为 了 发 现 程序 中 的 错误 而 执行 程序 。 系 统 测试 横 跨 系统 
生命 周期 中 的 两 个 阶段 。 一 般 情 况 下 ,系统 的 每 个 模块 在 编写 出 之 后 需要 对 其 进行 必要 的 
测试 , 称 为 单元 测试 。 模块 的 编写 者 和 测试 者 是 同一 个 人 ,编码 和 单元 测试 属于 系统 生命 周 
期 的 同一 阶段 。 在 此 阶段 结束 之 后 ,还 要 对 软件 系统 进行 各 种 综合 测试 ,综合 测试 通常 由 专 
门 的 测试 人 员 来 完成 , 它 属于 系统 生命 周期 的 另 一 个 独立 的 阶段 。 


6.1.1 测试 目标 


根据 立场 的 不 同 ,测试 存在 着 两 种 完全 不 同 的 目的 。 一 种 是 从 系统 开发 者 的 角度 出 发 ， 
希望 测试 能 够 证 明 系 统 产品 中 不 存在 错误 ,验证 该 系统 已 正确 地 实现 了 用 户 的 要 求 ,确立 用 
户 对 系统 质量 的 满意 度 。 另 一 种 是 从 用 户 的 角度 出 发 ,希望 通过 系统 测试 能 够 检查 系统 中 
是 否 存在 潜在 的 或 隐藏 的 错误 或 缺陷 ,以 考虑 是 否 可 接受 该 产品 。 

Grenford J. Myers 对 系统 测试 的 目的 提出 以 下 观点 : 

(1) 测试 目的 是 发 现 系 统 的 错误 , 它 是 程序 的 执行 过 程 。 

(2) 一 个 好 的 测试 方案 是 能 发 现 至 今 尚 未 发 现 的 错误 的 测试 方案 。 

(3) 一 个 成 功 的 测试 是 能 够 发 现 至 今 未 发 现 的 错误 的 测试 。 

总 体 来 说 ,测试 目标 是 希望 以 最 少 的 时 间 和 人 力 ,发 现 系 统 中 潜在 的 各 种 错误 和 缺陷 。 

系统 测试 的 主要 任务 包括 : 代码 漏洞 测试 功能 测试 性 能 测试 ,故障 诊断 及 问题 定位 、 
文档 评审 。 

(1) 代码 漏洞 测试 。 

扫描 系统 的 源 代 码 , 查 找 系统 的 安全 漏洞 。 

(2) 功能 测试 。 

Q@ 验证 系统 的 基本 功能 是 否 正 确 。 

@ 验证 系统 的 功能 实现 是 否 完 整 和 满足 需求 文档 中 的 要 求 。 

@ 验证 系统 的 可 靠 性 、 易 用 性 、 可 移植 性 和 维护 性 等 。 
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@ 验证 系统 的 内 外 部 接口 功能 是 否 正 确实 现 。 

(3) 性 能 测试 。 

性 能 测试 模拟 大 量 并 发 用 户 的 活动 ,重复 运行 测试 ,发 现 系统 在 重负 载 下 受到 的 影响 ， 
确认 性 能 瓶颈 ,从 而 对 系统 进行 优化 和 调整 。 

(4) 故障 诊断 及 问题 定位 。 

根据 用 户 ,测试 和 集成 商 等 发 现 的 问题 ,对 整个 系统 的 相关 运行 数据 进行 整理 ,分 析 采 
集结 果 ,定位 出 问题 发 生 的 具体 位 置 ,以 便 系统 开发 方 进行 修改 ,针对 问题 进行 回归 测试 。 

(5) 文档 评审 。 

对 系统 开发 方 在 项 目 实施 过 程 中 的 可 行 性 研究 报告 项目 规划 、 需 求 分 析 、 概 要 设计 、 详 
细 设 计 、 用 户 说 明 等 相关 文档 进行 评审 ,验证 是 否 包 含 了 国家 标准 中 关于 系统 设计 文档 的 主 
要 测试 指标 。 


6.1.2 测试 原则 


系统 测试 是 一 项 非常 复杂 的 任务 。 下 面 列 出 了 测试 时 的 主要 原则 ， 

(1) 应 尽早 地 和 不 断 地 进行 系统 测试 。 

(2) 测试 工作 应 避免 由 原 开 发 机 构 进 行 , 单 元 测试 除外 。 

(3) 设计 测试 用 例 时 ,要 包括 合法 的 输入 数据 的 和 非法 的 输入 数据 。 

(4) 设计 测试 时 要 确定 输入 数据 及 与 之 对 应 的 预期 输出 结果 。 

(5) 充分 注意 测试 过 程 中 的 群集 现象 。 

(6) 严格 按照 测试 计划 进行 ,避免 测试 的 随意 性 。 

(7) 对 所 有 的 测试 结果 做 全 面 检查 。 

(8) 检查 程序 是 否 做 了 应 做 的 事 和 不 应 做 的 事 。 

(9) 对 修改 的 程序 进行 回归 测试 。 

(10) 保留 测试 计划 ,全 部 测试 用 例 、 出 错 统计 和 最 终 分 析 报 告 ,作为 系统 文档 的 组 成 
部 分 。 


6.1.3 可 测试 性 


1. 可 测试 性 概念 基础 

可 测试 性 的 概念 最 早 在 航空 电子 领域 产生 ,由 F. Liour 等 人 于 1976 年 在 (设备 自动 测 
试 性 设计 ) 一 文中 最 先 提出 。 当 时 ,由 于 一 些 硬件 电路 系统 膨胀 到 一 定 的 数量 级 ,对 其 进行 
测试 就 显得 异常 复杂 ,众多 研究 人 员 就 提出 了 针对 硬件 电路 的 可 测试 性 度量 方法 ,形成 了 硬 
件 测试 的 一 个 重要 分 支 一 一 可 测试 性 分 析 。 随 后 ,美国 国防 部 相继 颁布 了 MIL-STD-471A 
通告 I 一 一 《设备 或 系统 的 机 内 测试 、 外 部 测试 .故障 隔离 和 可 测试 性 特性 要 求 的 验证 及 评 
价 》、MIL-STD-470A 一 一 (系统 及 设备 维修 性 管理 大 纲 ) 和 MIL-STD-2165 一 一 《电子 系统 
及 设备 的 可 测试 性 大 纲 ) 等 一 系列 与 可 测试 性 相关 的 标准 和 规范 。 其 中 ,电子 系统 及 设备 
的 可 测试 性 大 纲 》 规 定 了 可 测试 性 管理 .分 析 、` 设 计 与 验证 的 要 求 和 实施 方法 ,标志 着 可 测试 
性 从 维修 性 分 离 出 来 :成 为 一 门 独立 的 新 学 科 。 

可 测试 性 是 指 产品 能 及 时 准确 地 确定 其 状态 ,隔离 其 内 部 故障 的 设计 特性 ,状态 包括 可 
工作 不 可 工作 和 性 能 下 降 等 。 以 提高 可 测试 性 为 目的 进行 的 设计 被 称 为 可 测试 性 设计 。 
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可 测试 性 描述 了 测试 信息 获取 的 难 易 程度 , 它 和 可 靠 性 一 样 ,也 是 设备 本 身 所 固有 的 一 种 设 
计 特 性 。 可 测试 性 的 关键 技术 包括 : 

(1) 可 测试 性 度量 。 

(2) 可 测试 性 机 制 的 设计 与 优化 。 

(3) 测试 信息 的 处 理 与 故障 诊断 。 

可 测试 性 工作 的 目标 是 确保 系统 和 设备 达到 规定 的 可 测试 性 要 求 , 提 高 系统 和 设备 的 
完好 性 ,保证 任务 成 功 ,减少 对 维修 人 力 和 其 他 资源 的 要 求 ,降低 生命 周期 费用 ,并 为 管理 提 
供 必要 的 信息 。 具 体 目 标 包 括 : 

(1) 设计 完善 的 BIT(Build In Test) ,提高 系统 的 可 靠 性 和 安全 性 。 

(2) 自动 ,快速 地 检测 和 隔离 故障 ,提高 系统 的 可 靠 性 。 

(3) 通过 BIT .外 部 测试 及 兼容 性 设计 ,降低 系统 的 复杂 性 ,减少 信息 保障 费用 ,降低 生 
命 周 期 费用 。 

系统 或 设备 的 可 测试 性 工作 对 于 提高 设备 的 可 靠 性 和 维修 性 是 非常 重要 的 ,可 测试 性 
工作 的 具体 内 容 包 括 : 

(1) 确定 诊断 方案 和 可 测试 性 要 求 。 

确定 并 评审 诊断 方案 ,提出 能 最 好 地 满足 诊断 方案 的 系统 可 测试 性 要 求 。 

(2) 制定 可 测试 性 工作 计划 。 

明确 要 求 的 工作 项 目 并 进行 合理 的 安排 ,以 达到 规定 的 可 测试 性 要 求 。 

(3) 可 测试 性 初步 设计 和 分 析 。 

在 设计 早期 ,把 可 测试 性 设计 到 系统 和 设备 中 ,并 评价 其 程度 。 

(4) 可 测试 性 详细 设计 和 分 析 。 

把 可 测试 性 设计 到 系统 和 设备 中 去 ,评价 系统 和 设备 可 能 达到 的 可 测试 性 水 平 ,保证 可 
测试 性 能 有 效 地 综合 和 兼容 其 他 诊断 要 素 。 

(5) 评审 可 测试 性 工作 。 

及 时 评审 可 测试 性 工作 ,保证 可 测试 性 工作 按 要 求 和 计划 进行 。 

(6) 验证 可 测试 性 要 求 。 

验证 系统 和 设备 是 否 满足 规定 的 可 测试 性 要 求 , 并 评价 可 测试 性 的 有 效 性 。 

(7) 制定 可 测试 性 数据 收集 和 分 析 计 划 。 

对 生产 和 使 用 过 程 中 与 可 测试 性 有 关 的 问题 进行 检查 ,并 确定 其 纠正 措施 。 

2. 软件 可 测试 性 

信息 系统 的 可 测试 性 包括 硬件 可 测试 性 和 软件 可 测试 性 。 

硬件 可 测试 性 分 析 是 指 对 一 个 已 初步 完成 设计 的 电路 或 者 待 测 电路 ,不 具体 生成 测试 
码 就 能 定量 地 估算 出 电路 测试 难度 的 一 类 方法 。 它 有 两 个 基本 要 求 : 

(1) 准确 性 。 

准确 性 是 指 对 电路 的 可 控制 性 、 可 观察 性 和 可 测试 性 的 相对 大 小 关系 能 真实 描述 故障 
检测 的 难 易 。 

(2) 易 计 算 性 。 

易 计 算 性 是 指 可 测试 性 分 析 方 法 的 计算 复杂 性 远 远 低 于 测试 生成 ,否则 将 失去 其 存在 
价值 。 
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到 了 20 世纪 90 年 代 , 研 究 人 员 逐 渐 把 硬件 的 可 测试 性 分 析 研 究 应 用 到 软件 上 ,软件 可 
测试 性 研究 成 为 关注 的 焦点 。 软 件 可 测试 性 概念 的 解释 最 早 由 1990 年 的 IEEE STD. 610. 12 
中 给 出 。 软 件 可 测试 性 作为 软件 的 一 种 质量 特性 ,并 没有 一 个 统一 的 定义 ,Freedman 在 
1991 年 提出 把 可 测试 性 定义 为 可 控制 性 和 可 观测 性 的 集合 。 可 控制 性 是 指 便于 对 产品 的 
内 部 状态 进行 控制 ,可 观测 性 是 指 能 够 对 产品 的 内 部 状态 进行 观测 。 随 着 时 间 推 移 ,软件 可 
测试 性 概念 不 断 完善 ,研究 者 根据 各 自 研究 的 初衷, 对 软件 可 测试 性 给 予 了 不 同 的 定义 。 以 
下 是 3 种 对 软件 可 测试 性 的 定义 。 

1) IEEE(1990) 标 准 

(1) 为 一 个 系统 或 构件 建立 测试 标准 ,并 通过 执行 测试 来 确定 该 标准 被 满足 的 难 易 
程度 。 

(2) 对 每 一 个 声明 的 需求 建立 一 个 测试 标准 ,并 通过 执行 测试 来 确定 该 标准 被 满足 的 
难 易 程度 。 

2) ST Lab 标准 

一 个 软件 能 够 被 测试 的 有 效 程度 的 判断 。 

3) Jeffrey Voas 标准 

软件 中 存在 错误 , 它 在 下 一 次 被 测试 执行 时 产生 故障 的 概率 。 

此 外 ,更 一 般 的 软件 可 测试 性 定义 是 软件 中 存在 的 错误 在 给 定 任意 输入 集合 的 测试 过 
程 中 被 揭示 出 来 的 概率 。 

总 的 来 说 ,软件 可 测试 性 实质 是 对 软件 进行 有 效 测试 的 难 易 程 度 的 一 个 指标 ,但 是 该 指 
标 没有 对 可 测试 性 进行 量化 。 对 可 测试 性 进行 量化 研究 ,可 以 直观 地 判断 不 同 软件 可 测试 
性 的 好 坏 ,增强 可 比 性 ,合理 分 配 测试 资源 ,提高 测试 效率 ,评价 软件 测试 难 易 程度 也 会 更 加 
方便 。 此 外 ,该 量化 指标 也 可 用 于 评估 软件 的 可 靠 性 度量 和 可 测试 性 设计 。 

国际 上 对 软件 可 测试 性 的 研究 至 今 已 有 10 多 年 ,并 从 不 同 角度 提出 了 分 析 和 检测 软件 
可 测试 性 的 方法 。 根 据 实现 的 方式 ,这 些 方法 可 以 分 为 两 大 类 : 

(1) 用 静态 分 析 的 方法 来 检测 ,如 基于 数据 流 分 析 的 可 测试 性 度量 、PIE 模型 静态 实 
现 . 静 态 程 序 可 测试 性 分 析 模 型 等 。 静 态 方法 多 为 基于 概要 .详细 设计 或 者 对 程序 代码 的 静 
态 结构 分 析 , 依 据 一 定 的 规则 ,实现 对 程序 的 可 测试 性 分 析 。 这 类 模型 适合 于 设计 阶段 的 验 
收 测试 。 

(2) 用 动态 执行 的 方法 来 检测 ,如 PIE 模型 .语义 故障 模型 等 。 动 态 方法 强调 动态 运行 
被 测 程序 ,通过 插入 和 安装 程序 变异 因子 的 方法 观察 其 对 程序 执行 过 程 和 输出 的 影响 ,进而 
评估 程序 的 可 测试 性 。 这 类 模型 适合 于 单元 和 集成 测试 阶段 对 软件 进行 的 白 盒 测试 。 

国内 对 软件 可 测试 性 的 研究 起 步 比较 晚 ,从 已 有 的 文献 来 看 ,主要 着 重 于 对 软件 可 测试 
性 进行 定性 研究 或 者 可 测试 性 设计 策略 的 制定 上 ,并 没有 提出 新 的 软件 可 测试 性 检测 的 解 
决 方法 。 

目前 ,关于 软件 可 测试 性 的 研究 已 经 越 来 越 多 ,研究 的 内 容 范 围 也 越 来 越 广泛 ,其 研 
究 成 果 也 可 用 于 指导 测试 资源 的 合理 分 配 、 软 件 设 计 模 式 改 进 和 软件 可 靠 性 模型 建立 等 
方面 。 

3. 软件 的 可 测试 性 的 特征 

软件 可 测试 性 具有 以 下 特征 。 
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1) 可 操作 性 
软件 存在 很 少 错误 或 基本 没有 错误 的 话 , 软 件 运行 得 很 好 ,在 进行 测试 时 的 效率 就 会 
很 高 。 
2) 可 控制 性 
能 够 从 软件 的 输入 来 控制 它 的 各 种 输出 ,软件 硬件 状态 和 变量 可 由 测试 工程 师 直接 控 
制 , 软 件 的 自动 测试 工作 变 得 更 容易 。 


3) 可 观测 性 

可 观测 性 好 的 软件 产品 可 以 容易 地 观测 到 想 测试 的 东西 。 

4) 可 分 解 性 

软件 可 被 分 解 为 多 个 独立 的 模块 ,每 个 模块 都 能 进行 独立 测试 。 
5) 简单 性 

要 求 软件 在 满足 需求 的 基础 上 尽量 简单 。 

6) 稳定 性 

软件 保持 稳定 的 状态 ,变化 很 少 。 

7) 易 理 解 性 

软件 的 设计 易于 理解 。 


4. 软件 可 测试 性 研究 意义 

软件 的 可 测试 性 是 一 个 软件 度量 指标 , 它 的 高 低 决定 了 测试 该 软件 进行 的 难 易 程度 , 即 
软件 中 的 错误 被 揭示 出 来 的 可 能 性 。 可 测试 性 分 析 可 用 于 指导 软件 设计 人 员 合 理 地 设计 软 
件 结构 ,降低 测试 的 开销 并 提高 测试 的 可 行 性 。 改 善 了 软件 结构 ,也 能 直接 避免 一 些 软件 中 
的 错误 ,使 软件 的 可 靠 性 和 可 信 度 达到 较 高 的 水 平 。 对 软件 可 测试 性 分 析 的 研究 ,有 助 于 确 
定 软 件 为 了 达到 一 定 的 可 靠 性 而 需要 被 测试 的 程度 ,并 提高 测试 的 覆盖 率 。 由 于 软件 测试 
的 固有 的 复杂 性 ,使 得 软件 开发 中 测试 的 成 本 越 来 越 高 ,但 软件 的 可 靠 性 仍 未 得 到 保证 。 分 
析 研 究 软件 可 测试 性 的 目的 是 将 其 应 用 在 软件 质量 保证 中 ,合理 分 配 资源 ,减轻 测试 工作 
量 , 提 高 软件 的 可 靠 性 。 研 究 软件 可 测试 性 及 其 量化 方法 对 评价 软件 测试 难 易 程度 和 对 软 
件 的 测试 .软件 的 质量 保证 以 及 改进 软件 结构 设计 都 具有 一 定 的 指导 意义 。 

5. 软件 可 测试 性 分 析 方法 

根据 可 测试 性 的 不 同 定义 ,可 以 有 多 种 可 测试 性 的 分 析 方法 ,并 且 不 同 的 方法 针对 不 同 
的 软件 属性 。 由 于 软件 之 间 的 结构 .设计 方法 .设计 层面 以 及 测试 方法 等 的 差异 ,将 可 测试 
性 分 析 方法 分 为 多 个 种 类 。 比 较 典 型 的 4 类 大 致 归纳 如 下 : 

第 一 类 ,此 类 的 主体 思想 是 基于 某 种 流 图 ,对 图 中 各 种 结构 信息 (如 点 , 边 、 路 径 数 、 循 环 
数 等 ) 进 行 统 计 计 算 。 这 些 信息 的 统计 不 依赖 于 程序 的 执行 和 测试 策略 ,而 是 以 模块 为 单 
位 ,得 出 的 结果 可 用 于 比较 不 同 的 程序 结构 的 优 劣 , 找 出 软件 中 的 需要 重点 测试 的 位 置 , 指 
导 软 件 的 改进 。Jin-Cherng Lin 和 Pu-Lin Yeh 提出 的 基于 数据 流 的 方法 、 宫 云 战 等 提出 的 
基于 程序 流 图 的 方法 和 Taghi M. Khoshgoftaar 等 人 提出 的 基于 神经 网 络 的 方法 都 属于 这 
一 类 。 

第 二 类 ,基于 信息 论 的 分 析 方 法 ,主要 由 Robach 等 人 提出 。 此 类 方法 基于 信息 流 图 ， 
以 模块 的 输入 和 输出 信息 为 依据 ,对 可 控制 性 和 可 观测 性 进行 定量 计算 ,从 而 确定 其 可 测 
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试 性 。 

第 三 类 ,以 PIE(Propagation analysis, Infection analysis and Execution analysis) 技术 
为 基本 原型 ,针对 程序 中 的 某 一 位 置 进行 分 析 , 计 算 在 该 处 故障 能 被 检测 到 的 概率 。 对 程序 
中 关键 语句 进行 分 析 ,结果 可 用 来 指导 相应 的 测试 工作 ,从 而 节省 资源 ,提高 测试 效率 。 

第 四 类 ,基于 UML 类 图 的 分 析 技 术 。 此 类 方法 主要 以 UML 类 图 为 分 析 对 象 ,发 现 构 
件 中 类 之 间 的 复杂 依赖 关系 并 进行 消除 ,提高 软件 的 可 测试 性 。 

除了 上 述 几 类 方法 外 ,也 可 从 其 他 角度 对 软件 可 测试 性 进行 分 析 。 

软件 可 测试 性 分 析 通 过 对 软件 自身 结构 的 量化 分 析 , 从 而 指导 软件 测试 的 分 析 。 在 软 
件 的 分 析 和 设计 阶段 开始 软件 可 测试 性 分 析 , 能 及 时 地 发 现 软件 中 存在 的 不 合理 结构 ,或 者 
是 不 利于 软件 测试 的 结构 ,从 而 作出 针对 性 的 调整 。 


6.1.4 信息 系统 安全 测试 框架 


在 对 一 个 复杂 的 信息 系统 进行 安全 测试 时 ,需要 分 析 和 考虑 多 方面 的 内 容 ,具体 包括 如 
下 几 个 方面 。 

1. 制定 安全 测试 策略 

在 综合 考虑 测试 目的 成 本 与 效益 .风险 控制 等 要 素 基础 上 ,制定 测试 活动 相应 的 安全 
策略 。 制 定安 全 测试 策略 的 目的 是 指导 安全 测试 方法 和 安全 测试 工程 的 实践 ,解决 有 关 测 
试 的 原则 性 问题 。 

2. 全 面 剖 析 被 测试 信息 系统 

分 析 目 标 系统 ,确定 安全 测试 的 内 容 和 方法 ,以 及 测试 系统 的 安全 性 质 的 方法 ,确切 、 完 
整地 反映 出 信息 系统 当前 的 安全 状态 。 

3. 确定 信息 系统 安全 测试 的 技术 和 工具 

信息 系统 的 安全 性 涉及 的 范围 很 广 ,需要 不 同 的 安全 测试 技术 和 工具 。 另 外 ,还 要 建立 
一 个 信息 系统 安全 技术 知识 库 ,知识 库 需 要 包括 安全 漏洞 库 病毒. 里 虫 和 木马 特征 库 等 。 

4. 制定 规范 的 安全 测试 工程 

安全 测试 工程 包括 系统 分 析 、 测 试 计划 、 测 试 流程 ,测试 记录 和 测试 质量 保证 等 方面 。 
系统 分 析 是 指 对 被 测 系 统 和 其 安全 性 架构 进行 分 析 ; 测试 计划 包括 安全 测试 的 范围 对象、 
项 目 及 其 子 项 ; 测试 流程 是 指 信息 系统 安全 测试 的 步骤 ; 测试 记录 是 指 对 安全 测试 的 过 程 
和 结果 进行 记录 和 分 析 研 究 ,形成 安全 测试 报告 。 测 试 质量 保证 是 指 对 安全 测试 进行 管理 
控制 和 审查 核实 ,以 保证 测试 的 公正 性 ,真实 性 和 可 重复 性 等 。 

如 图 6. 1 所 示 是 一 种 信息 系统 安全 测试 框架 。 


6.1.5 信息 系统 安全 测试 方法 


安全 测试 可 分 为 两 种 : 静态 安全 性 测试 和 动态 安全 性 测试 。 静 态 安 全 性 测试 主要 分 析 
信息 系统 的 架构 、 所 采用 协议 及 软件 系统 的 设计 和 实现 过 程 中 的 缺陷 ; 动态 安全 性 测试 主 
要 检测 信息 系统 运行 期 间 所 表现 出 的 安全 脆弱 性 ,安全 脆弱 性 是 指 信息 系统 前 期 的 设计 、 实 
施 以 及 运行 期 间 各 种 因素 综合 作用 的 结果 。 
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图 6.1 信息 系统 安全 测试 框架 
1. 静态 安全 性 测试 


静态 安全 性 测试 侧重 于 软件 安全 性 的 测试 ,测试 软件 的 设计 和 实现 问题 不 会 引起 软件 
自身 的 问题 ,也 不 会 影响 其 他 或 整个 信息 系统 的 安全 问题 。 静 态 软 件 安全 性 测试 是 信息 系 
统 安全 性 的 基础 性 和 支撑 性 的 安全 控制 措施 。 静 态 安全 性 测试 通常 是 在 信息 系统 的 设计 和 
实现 过 程 中 采用 ,而 对 已 建成 并 运行 的 信息 系统 一 般 很 少 采用 。 毅 态 安全 性 测试 方法 主要 
包括 3 个 方面 的 内 容 : 

(1) 审核 软件 系统 设计 的 原则 和 架构 。 

(2) 分 析 和 测试 协议 安全 性 。 

(3) 测试 软件 系统 源 代码 。 

2. 动态 安全 性 测试 

动态 安全 性 测试 主要 对 运行 信息 系统 的 安全 性 进行 测试 ,测试 的 目的 是 发 现 信息 系统 
当前 的 漏洞 以 及 潜在 的 脆弱 性 。 动 态 安全 性 测试 可 采取 2 种 方法 : 

(1) 从 网 络 协议 层 角度 ,针对 网 络 的 整个 协议 层 进行 安全 测试 ,实现 整个 网 络 协议 层 的 
纵深 安全 测试 。 

(2) 从 网 络 拓扑 结构 角度 ,选择 具有 代表 性 的 测试 点 对 信息 系统 进行 多 方位 的 安全 测 
试 ,实现 对 整个 信息 系统 的 全 方位 安全 测试 。 


6.2 硬件 安全 性 测试 


计算 平台 越 来 越 多 地 部 署 在 许多 重要 的 基础 设施 中 ,如 智能 电网 、 金 融 系统 、 敏 感 的 政 
府 组 织 等 ,一 个 成 功 的 安全 攻击 造成 的 后 果 十 分 严重 。 因 此 ,高 风险 领域 的 计算 机 平台 的 应 
用 ,推动 了 更 高 的 安全 平台 的 建立 。 但 是 ,由 于 两 个 新 出 现 的 趋势 ,增加 了 加 强 安全 平台 建 
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由 于 经 济 .社会 和 技术 力量 的 影响 ,硬件 安全 已 经 成 为 首要 的 设计 和 制造 目标 。 硬 
件 安全 涵盖 了 广泛 的 研究 和 发 展 方向 ,包括 知识 产权 保护 、 硬 件 计量 、 硬 件 的 特洛伊 木马 
检测 .安全 的 智能 卡 设计 和 物理 容器 使 用 电子 锁 的 保护 等 。 最 近 , 硬 件 安全 集成 和 评价 
工具 的 发 展 受到 了 极 大 的 关注 。 然 而 ,关于 硬件 安全 方面 的 课程 还 没有 被 引入 计算 机 工 
程 课 程 。 

面向 硬件 的 攻击 : 计算 平台 包括 一 个 软件 栈 ,包括 用 户 应 用 程序 ,操作 系统 和 设备 驱动 
程序 ,在 一 个 包括 处 理 器 .芯片 组 ,内存 和 外 设 的 硬件 上 执行 。 此 前 ,安全 攻击 主要 是 针对 软 
件 堆栈 ,并 利用 软件 的 漏洞 ,如 缓冲 区 溢出 .格式 串 等 ,以 获得 执行 攻击 者 的 恶意 代码 的 权 
限 。 最 近 ,安全 攻击 已 经 趋向 于 硬件 ,恶意 操纵 硬件 的 设置 ,以 方便 绕 过 硬件 保护 机 制 。 在 
一 个 平台 上 ,硬件 是 最 有 特权 的 实体 ,操纵 它 有 可 能 给 攻击 者 相当 大 的 灵活 性 和 权力 发 动 恶 
意 安全 攻击 的 能 力 。 此 外 ,许多 面向 硬件 的 攻击 有 能 力 逃 脱 以 操作 系统 为 基础 的 机 制 ,如 防 
病毒 扫描 的 检测 。 

1. 硬件 组 织 基础 

一 个 计算 平台 的 硬件 由 许多 元 件 相互 交融 ,实现 平台 功能 。 一 个 典型 的 计算 平台 的 硬 
件 组 织 包括 3 个 主要 部 分 , 即 集 成 电路 芯片 .外 设 接口 和 总 线 。 每 个 硬件 类 型 的 功能 和 举例 
说 明 如 下 。 

1) 集成 电路 芯片 

这 些 芯片 实现 逻辑 控制 ,数据 处 理 和 存储 固件 代码 执行 。 除 了 中 央 处 理 器 ,其 他 的 芯 
片 ,如 内 存 控制 集线器 (Memory Controller Hub, MCH) ,调节 CPU 和 外 设 的 访问 内 存 ; 输 
入 /输出 控制 器 (Input/Output Controller Hub,ICH) ,调节 CPU 和 不 同 的 外 围 设备 之 间 的 
访问 ; 动态 随机 存 取 存储 器 (Dynamic Random Access Memory, DRAM), 实 现存 储 ; 可 编 
程 中 断 控制 器 (Programmable Interrupt Controller,PIC) ; 可 信 平 台 模 块 (Trusted Platform 
Module,TPM) ,实现 加 密 功 能 ; 存储 BIOS 固件 和 租 入 式 控 制 器 (Embedded Controller， 
EC) 的 监管 平台 等 。 通 常情 况 下 ,MCH 和 ICH 都 统称 为 芯片 组 。 因 此 ,除了 CPU, 有 多 个 
芯片 控制 平台 的 信息 流 ,影响 整体 平台 的 安全 。 

2) 外 设 接口 

这 些 电气 接口 是 负责 实施 底层 外 围 设备 连接 到 平台 的 各 种 标准 的 通信 协议 。 这 种 接口 
包括 USB 接口 .SATA( 例 如 ,硬盘 驱动 器 ) .PCI、LPC( 例 如 ,TPM 设备 ) 和 GBE( 例 如 ,有 线 
和 无 线 网 卡 )。 

3) 总 线 

总 线 负责 芯片 和 外 设 之 间 数 据 传输 。 著 名 的 例子 包括 CPU 和 MCH 和 直接 媒体 接口 
(Direct Media Interface,DMD) 总 线 之 间 前 端 总 线 (FSB) ,连接 MCH 和 ICH。 

2. 硬件 的 安全 隐患 

图 6.2 表示 了 一 个 IC 设计 模型 。 

该 木马 可 以 通过 主 总 线 上 的 一 个 特殊 的 值 被 激活 ,例如 , 它 可 以 存储 目标 数据 的 地 址 。 
一 旦 木马 电路 被 触发 ,有 效 载 荷 可 以 是 下 列 之 一 : 禁用 系统 ,通过 艇 入 式 接口 将 有 用 的 数据 
传送 给 第 三 方 ,为 进一步 利用 收集 内 存 访 问 的 信息 ,上 升 为 当前 系统 中 正在 运行 的 进程 的 安 
全 特权 。 
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6.2 木马 电路 嵌入 


3. 硬件 攻击 的 类 型 

在 硬件 级 别 ,每 个 IC 芯片 有 大 量 的 状态 元 素 ,芯片 之 间 和 外 设 接 口 通过 互 连 总 线 发 送 
的 众多 的 控制 信号 相互 交互 。 在 此 背景 下 ,我 们 定义 硬件 安全 漏洞 为 状态 值 和 控制 信号 的 
特定 组 合 ,这 将 导致 违反 安全 目标 或 绕 过 一 个 平台 的 访问 控制 机 制 。 面 向 硬件 的 攻击 者 的 
攻击 能 够 利用 硬件 漏洞 威胁 一 个 计算 平台 的 安全 。 在 硬件 攻击 已 经 被 观察 到 ,在 实践 中 发 
生 的 方式 的 基础 上 ,将 其 分 为 以 下 几 种 类 型 : 

(1) 积极 的 对 抗 性 的 硬件 控制 信号 操纵 。 

这 一 类 的 攻击 ,敌手 积极 操作 平台 上 的 控制 信号 ,以 破坏 平台 的 访问 控制 机 制 。 这 些 攻 
击 可 能 需要 附加 MOD 芯片 或 探头 的 到 平台 的 物理 访问 ,以 影响 硬件 控制 信号 。 

(2) 在 多 平台 功能 的 互动 安全 性 的 缺口 。 

整个 平台 的 功能 ,是 通过 在 不 同 的 平台 组 件 功 能 集合 实现 的 。 然 而 ,两 个 或 更 多 的 功能 
交互 ,可 以 创建 被 攻击 者 破坏 硬件 内 置 的 保护 的 安全 漏洞 。 由 于 平台 上 的 状态 和 控制 信号 
的 指数 , 找 出 所 有 可 能 导致 潜在 的 利用 漏洞 的 相互 作用 是 相当 困难 的 。 

(3) 不 安全 开机 固件 平台 初始 化 。 

硬件 需要 为 正常 的 平台 操作 进行 正确 配置 ,初始 化 通过 平台 的 引导 固件 完成 ,如 BIOS。 
BIOS 负责 内 存 控制 器 的 配置 , 它 转换 物理 地 址 ,由 页 表 输 出 到 DRAM 芯片 所 需 的 索引 位 
置 的 参数 组 合 。 如 果 配 置 不 正确 的 内 存 控 制 器 ,然后 基于 页 面 的 访问 控制 可 能 被 绕 过 。 因 
此 ,BIOS 在 硬件 平台 的 安全 性 起 着 不 可 或 缺 的 作用 。 

(4) 不 可 信 或 规模 较 小 的 恶意 影响 硬件 操作 的 特权 实体 。 

和 特权 的 平台 实体 一 一 硬件 一 起 ,具有 不 同 权限 或 信任 级 别 的 其 他 实体 展现 在 平台 上 。 
当 敌 手 能 够 利用 平台 上 的 一 个 较 小 的 特权 或 不 受信 的 实体 ,恶意 影响 硬件 实施 保护 机 制 的 
运作 时 ,整个 平台 的 安全 受到 威胁 。 

在 硬件 接口 方面 ,存在 一 些 不 同 的 安全 隐患 ,可 以 进行 以 下 测试 。 

(1) 串 行 接口 测试 : 信息 系统 的 串 行 通信 的 主要 安全 问题 是 抗 干扰 能 力 弱 。 串 行 通信 
协议 要 求 在 数据 发 送 和 接收 之 间 采 用 统一 的 采样 率 , 如 果 攻 击 者 干扰 传输 通道 , 它 可 能 会 
导致 数据 的 校 验 错误 ,导致 数据 帧 的 丢失 。 此 外 ,如 果 串 行 端口 使 用 RS-422 或 RS-485 
标准 , 当 信道 遇 到 了 强烈 的 信号 干扰 时 , 共 模 干扰 会 发 生 。 这 可 能 会 导致 接收 器 的 输入 
电压 超出 正常 范围 ,并 在 输电 线路 产生 干扰 电流 ,从 而 影响 正常 通信 ,甚至 严重 损坏 通信 
接口 电路 。 

(2) CAN 总 线 接 口 测试 : 在 信息 系统 中 ,CAN 总 线 通 信和 的 主要 安全 问题 是 缓冲 区 溢 
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出 。 根 据 CAN 接口 通信 协议 ,发 送 者 需要 建立 标准 帧 ,根据 接收 方 的 要 求 定 义 帧 头 、 帧 尾 
和 校 验 。 发 件 者 还 需要 定义 接收 帧 缓冲 区 的 长 度 。 如 果 发 送 帧 大 大 超过 缓冲 区 的 大 小 ， 
CAN 接口 的 接收 方 无 法 接收 正确 的 帧 ,可 能 导致 缓冲 区 溢出 。 

(3) AD 接口 测试 : AD 卡 是 高 速 数据 采集 卡 ,AD 通信 的 主要 安全 问题 可 能 存在 于 以 
下 几 个 方面 : 首先 是 输入 电压 的 问题 。AD 数据 采集 卡 的 输入 电压 都 有 一 定 的 范围 ,如 果 输 
和 电压 超过 过 载 电 压 , 过 度 加 载 的 电压 将 烧毁 采集 卡 ,设备 将 停止 工作 。 其 次 , 当 使 用 外 部 
触发 模式 模拟 数字 的 转换 ,采样 频率 取决 于 外 部 触发 源 , 如 果 攻 击 者 设置 外 部 触发 频率 过 
高 ,AD 卡 写 人 到 FIFO 缓冲 区 的 数据 过 快 , 导 致 缓冲 区 溢出 和 传人 的 数据 丢失 ,降低 了 系统 
的 信号 采集 能 力 。 

(4) DIO 接口 测试 : DIO 的 优势 是 高 速 数据 传输 ,因此 攻击 者 可 以 主攻 DIO 接口 ,降低 
数据 的 输入 和 输出 率 , 如 增加 COS(Change of State) 中 断 等 。 当 输入 信号 从 高 到 低 或 从 低 
到 高 变化 ,COS 中 断 系 统 产生 一 个 中 断 请 求 ,使 PCI 控制 器 中 断 。 每 个 输入 通道 都 有 COS 
中 断 的 功能 ,默认 情况 下 ,COS 中 断 功能 是 关闭 的 ,管理 者 根据 日 期 输入 状态 ,需要 打开 一 
些 特定 通道 中 断 功 能 。 如 果 攻 击 者 使 更 多 的 COS 中 断 ,系统 经 常 中 断 ,将 大 大 减少 数据 输 
入 速率 ,影响 系统 的 功能 ; 如 果 所 有 输入 通道 的 COS 中 断 被 启用 , 它 会 导致 拒绝 服务 ,其 至 

(5) 以 太 网 接口 测试 : 以 太 网 接口 的 主要 安全 问题 是 缓冲 区 溢出 和 拒绝 服务 。 


6.3 应 用 软件 安全 性 测试 


在 信息 系统 中 ,作为 整体 ,不 仅 要 对 硬件 系统 、 网 络 系统 进行 测试 ,还 需要 对 软件 系统 进 
行 测试 。 由 于 系统 的 开发 任务 很 大 程度 上 是 软件 开发 ,因此 测试 的 对 象 除了 硬件 部 分 、 网 络 
部 分 以 外 ,更 主要 的 是 软件 。 

软件 测试 是 使 用 为 发 现 错误 所 选择 的 输入 和 状态 的 组 合 而 执行 代码 的 过 程 , 它 是 在 软 
件 投入 运行 前 ,对 软件 需求 分 析 、 设 计 规格 说 明和 编码 的 最 终 复审 ,在 规定 条 件 下 对 程序 进 
行 操作 ,以 发 现 错误 ,对 软件 质量 进行 评估 。 它 是 根据 软件 开发 各 阶段 的 规格 说 明和 程序 的 
内 部 结构 精心 设计 一 批 测试 用 例 , 用 这 些 测 试用 例 去 执行 程序 ,从 而 发 现 程序 中 错误 的 过 
程 。 软 件 测试 的 目的 是 通过 系统 的 测试 方法 ,发 现 软件 中 的 错误 ,提供 丰富 的 错误 诊断 信 
息 , 便 于 改正 错误 ,预防 错误 的 发 生 , 减 少 软件 开发 的 费用 。 

根据 测试 过 程 是 否 需要 运行 被 测试 的 程序 ,软件 测试 方法 一 般 分 为 静态 测试 方法 与 动 
态 测 试 方法 。 

1) 静态 测试 

静态 测试 在 对 软件 代码 进行 分 析 、 检 查 和 测试 时 不 实际 运行 被 测试 的 程序 。 静 态 测 试 
方法 还 适用 于 对 各 种 软件 文档 进行 测试 。 

2) 动态 测试 

动态 测试 通过 运行 软件 来 检验 软件 的 动态 行为 和 运行 结果 的 正确 性 。 动 态 测试 的 主要 
特征 是 计算 机 必须 实际 运行 被 测试 的 程序 ,通过 输入 测试 数据 ,对 其 运行 情况 进行 分 析 。 运 
行情 况 是 指 输入 与 输出 之 间 的 对 应 关系 。 
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从 是 否 针对 系统 的 内 部 结构 和 具体 实现 算法 的 角度 ,软件 测试 方法 可 分 为 黑 盒 测试 和 
白 盒 测试 。 

1) 黑 盒 测试 (功能 测试 ) 

黑 盒 测试 ,又 称 功 能 测试 , 它 把 被 测试 对 象 看 成 一 个 黑 盒 子 ,测试 人 员 完 全 不 考虑 程序 
的 内 部 结构 和 内 部 特性 ,只 依据 规格 说 明 测试 系统 已 定义 的 功能 ,检查 程序 的 功能 是 否 符合 
它 的 功能 说 明 ,检验 程序 是 否 与 功能 要 求 完 全 一 致 。 黑 盒 测试 的 重点 在 于 如 何 从 输入 域 中 
选择 待 测 的 测试 用 例 。 由 黑 盒 测 试 所 产生 的 测试 用 例 应 能 检验 程序 的 全 部 功能 。 黑 盒 测 试 
可 以 发 现 不 正确 或 漏 掉 的 功能 、 接 口 错 误 .数据 结构 或 外 部 数据 库 访问 中 的 错误 .性 能 错误 、 
初始 化 或 终止 错误 等 。 黑 盒 测试 的 优点 是 能 站 在 用 户 立 场 上 进行 测试 ,缺点 是 不 能 测试 程 
序 内 部 的 特定 位 置 , 当 规格 说 明 有 误 的 情况 下 也 无 法 发 现 。 

2) 白 盒 测试 (结构 测试 

白 盒 测试 ,又 称 结构 测试 , 它 把 被 测试 对 象 看 成 一 个 透明 的 白 盒 子 ,测试 人 员 完 全 知道 
程序 的 内 部 结构 和 处 理 算法 ,按照 程序 内 部 结构 和 逮 辑 设计 测试 用 例 ,对 程序 的 路 径 和 过 程 
进行 测试 ,检查 是 否 满足 设计 的 需要 。 白 盒 测试 的 测试 用 例 用 于 检查 模块 中 的 独立 路 径 ， 
每 个 逻辑 判定 的 真 假 ,每 个 循环 变量 的 初 值 .中 间 值 和 终 值 ,程序 的 内 部 数据 结构 是 否 有 
效 等 。 通 过 白 盒 测试 可 发 现 程序 中 的 逻辑 错误 和 不 正确 的 假设 或 条 件 、 未 预料 到 的 意外 
路 径 .语法 检查 未 发 现 的 书写 错误 等 。 白 盒 测试 的 优点 是 能 够 对 程序 内 部 的 特定 位 置 进 
行 覆盖 测试 ,缺点 是 无 法 检验 程序 的 外 部 特性 ,无 法 对 未 实现 规格 说 明 的 程序 内 部 欠缺 
部 分 进行 测试 。 

软件 安全 是 软件 领域 的 一 个 重要 子 领域 ,已 经 成 为 评判 软件 质量 的 一 个 重要 标准 。 软 
件 安 全 性 作为 软件 质量 的 一 个 重要 属性 ,表达 了 软件 在 系统 工作 中 避免 不 可 接受 风险 的 能 
力 以 及 软件 运行 不 引起 系统 事故 的 能 力 , 是 保证 系统 安全 .避免 重大 人 员 伤 亡 和 财产 损失 的 
重要 环节 。 安 全 性 一 般 分 为 两 个 层次 : 应 用 程序 级 别 和 系统 级 别 。 应 用 程序 级 别 包 括 对 数 
据 或 业务 功能 的 访问 ,确保 在 预期 的 安全 性 情况 下 ,操作 者 只 能 访问 特定 的 功能 .用 例 或 者 
有 限 的 数据 。 系 统 级 别 包括 对 系统 的 登录 或 远程 访问 ,确保 只 有 有 具备 系统 访问 权限 的 用 户 
才能 访问 应 用 程序 ,而 且 只 能 通过 相应 的 人 口 来 访问 。 软 件 安全 性 包括 失效 安全 性 和 保密 
安全 性 ,传统 上 关注 较 多 的 是 软件 的 失效 安全 性 。 失 效 安全 性 是 软件 运行 不 引起 系统 事故 
的 能 力 ,强调 的 是 一 类 安全 关键 软件 的 安全 性 失效 可 能 造成 重大 人 员 伤 亡 .财产 损失 和 环境 
污染 等 危险 事故 。 对 失效 安全 性 的 度量 主要 有 建立 在 可 靠 性 理论 基础 上 的 安全 度 .失效 度 、 
平均 事故 间隔 时 间 和 软件 事故 率 等 。 失 效 安全 性 测试 常用 的 测试 方法 主要 有 基于 故障 树 的 
测试 和 基于 最 小 割 集 的 测试 。 对 于 保密 安全 性 ,ISO 9126 质量 模型 的 定义 是 “与 防止 对 程 
序 和 数据 进行 非法 存 取 的 预防 能 力 有 关 的 质量 属性 ”。 保 密 安全 性 测试 主要 的 测试 方法 有 
代码 走读 与 审查 .静态 分 析 形式 化 方法 ,故障 注 和 人、 基于 模型 的 测试 .基于 属性 的 测试 .语法 
测试 模糊 测试 等 。 

在 工程 项 目 中 ,常规 的 软件 工程 方法 和 软件 测评 手段 并 不 能 完全 验证 软件 安全 性 ,需要 
通过 软件 安全 性 测试 来 验证 与 软件 相关 的 系统 危险 已 被 消除 或 被 控制 在 可 接受 的 风险 水 
平 。 通 过 测试 可 在 软件 中 发 现 隐 藏 的 重大 错误 并 进行 排除 。 但 在 工程 中 开展 软件 安全 性 测 
试 仍然 比较 困难 。 
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6.3.1 软件 安全 性 测试 方法 


软件 安全 性 测试 是 验证 软件 的 安全 等 级 和 识别 潜在 安全 性 缺陷 的 过 程 , 一 般 包 括 运 行 
环境 的 可 靠 性 和 数据 存储 的 安全 性 。 软 件 安全 性 测试 过 程 包括 安全 功能 测试 ,渗透 测试 与 
验证 过 程 。 软 件 安全 性 测试 不 同 于 其 他 测试 类 型 ,安全 性 缺陷 也 不 同 于 一 般 的 软件 缺陷 。 
一 个 很 难 发 现 的 软件 缺陷 可 能 只 影响 很 少 一 部 分 用 户 ,但 一 个 很 难 发 现 的 软件 安全 漏洞 可 
能 导致 大 量 用 户 受到 影响 。 安 全 性 测试 和 传统 测试 最 大 的 区 别 在 于 它 强 调 软件 不 应 该 做 什 
么 ,而 不 是 软件 要 做 什么 。 非 安全 性 缺陷 常常 是 违反 规约 , 即 软件 应 该 做 M, 它 却 做 了 N。 
安全 性 缺陷 则 是 软件 应 该 做 M, 它 做 了 M 的 同时 ,又 做 了 N。 传统 测试 类 型 强调 软件 的 肯 
定 需求 ,例如 用 户 账 户 登 录 失 败 5 次 则 关闭 此 账户 ,而 安全 性 测试 更 强调 软件 的 否定 需求 ， 
例如 未 授权 用 户 不 能 访问 数据 。 

软件 安全 性 测试 可 分 为 安全 漏洞 测试 和 安全 功能 测试 。 安 全 漏洞 是 指 系统 在 设计 、 实 
现 、. 操 作 和 管理 过 程 中 存在 的 可 被 利用 的 缺陷 或 弱点 。 漏 洞 一 旦 被 利用 ,可 能 造成 软件 受到 
攻击 ,软件 就 进入 不 安全 的 状态 。 安 全 漏洞 测试 是 从 攻击 者 的 角度 发 现 软 件 的 安全 漏洞 的 
测试 。 安 全 功能 测试 基于 软件 的 安全 功能 需求 说 明 ,测试 软件 的 安全 功能 实现 是 否 与 安全 
需求 一 致 ,需求 实现 是 否 正确 完备 。 软 件 安全 功能 需求 主要 包括 数据 机 密 性 .完整 性 .可 用 
性 访问 控制 授权、 身份 认 证 不 可 否认 性 .审计 跟踪 、 委 托 .隐私 保护 和 安全 管理 等 。 

1. 软件 安全 性 测试 的 主要 模型 

随 着 对 软件 安全 性 的 研究 越 来 越 多 ,安全 性 测试 方法 相关 研究 取得 了 一 定 进展 。 以 下 
是 软件 安全 性 测试 方法 的 主要 模型 。 

1) 形式 化 安全 测试 

形式 化 安全 测试 通过 建立 软件 的 数学 模型 ,在 形式 规格 说 明 语言 的 支持 下 ,提供 软件 的 
形式 规格 说 明 。 形 式 化 安全 测试 可 分 为 两 类 : 模型 检验 和 定理 证 明 。 模 型 检测 用 状态 迁移 
系统 P 描述 软件 的 行为 ,用 时 序 逻 辑 .计算 树 逻 辑 或 演算 公式 Q 表示 软件 执行 必须 满足 的 
性 质 , 通 过 自动 搜索 P 中 不 满足 公式 Q 的 状态 来 发 现 软 件 中 的 漏洞 。 定 理 证 明 将 程序 转换 
为 逻辑 公式 ,使 用 公理 和 规则 证 明 程 序 是 一 个 合法 的 定理 。 

2) 静态 安全 性 分 析 

静态 安全 性 分 析 主 要 通过 对 源 代码 进行 安全 扫描 ,根据 程序 中 数据 流 、 控 制 流 、 语 义 等 
信息 与 其 特有 软件 安全 规则 库 进行 匹配 ,从 中 找 出 代码 中 潜在 的 安全 漏洞 。 静 态 安 全 性 分 
析 可 以 在 编码 阶段 找 出 所 有 可 能 存在 安全 风险 的 代码 ,使 得 开发 人 员 可 在 早期 解决 潜在 的 
安全 问题 。 

3) 基于 故障 注入 的 安全 性 测试 

基于 故障 注入 技术 的 安全 性 测试 建立 应 用 与 环境 交互 的 故障 模型 。 故 障 注入 主要 针对 
应 用 与 环境 的 交互 点 :包括 用 户 输入 ,文件 系统 .网 络 接口 和 环境 变量 等 引起 的 故障 。 故 障 
注入 可 以 有 效 地 模拟 各 种 异常 程序 行为 ,通过 故障 注入 函数 强制 使 程序 达到 采用 常规 的 标 
准 测 试 技术 无 法 达到 的 某 些 特定 状态 。 

4) 基于 模型 的 安全 性 测试 

基于 模型 的 安全 性 测试 对 软件 的 行为 和 结构 进行 建 模 ,生成 测试 模型 .根据 测试 模型 生 
成 测试 用 例 以 驱动 软件 测试 。 测 试用 例 的 选择 问题 可 以 看 作 是 从 庞大 的 输入 或 状态 组 合 
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中 ,搜寻 那些 可 以 发 现 错误 的 状态 及 组 合 。 如 果 不 使 用 抽象 的 手段 ,有 效 的 测试 是 不 可 能 达 
到 的 。 常 用 的 软件 安全 性 测试 模型 有 UML 模型 有限 状态 机 和 马尔 可 夫 链 等 。 

5) 基于 属性 的 安全 性 测试 

基于 属性 的 安全 性 测试 采用 TASPEC 语言 对 软件 的 安全 属性 进行 描述 ,首先 确定 安全 
编程 规则 ,然后 将 规则 编码 作为 安全 属性 ,验证 程序 代码 是 否 遵守 了 安全 规则 。 基 于 属性 的 
安全 性 测试 针对 目标 软件 的 特定 安全 属性 进行 测试 ,可 满足 安全 属性 的 优先 级 排序 和 分 类 
要 求 , 且 部 分 与 具体 软件 无 关 的 属性 说 明 是 可 重用 的 。 

6) 语法 测试 

语法 测试 的 主要 思想 是 根据 被 测 软件 的 功能 接口 的 语法 生成 测试 输入 ,检测 被 测 软件 
对 各 类 输入 的 响应 ,软件 的 接口 明确 或 隐 含 地 规定 了 输入 的 语法 。 接 口 包括 多 种 类 型 : 文 
件 、 命 令 行 . 环 境 变量 和 套 接 字 等 。 语 法 测试 的 步骤 是 识别 被 测 软件 接口 的 语言 后 ,采用 
BNF 或 正则 表达 式 定义 语言 的 语法 ,语法 定义 了 软件 接受 的 输入 数据 的 类 型 和 格式 。 根 据 
语法 生成 测试 用 例 , 然 后 进行 测试 。 生 成 的 测试 输入 应 包含 各 类 语法 错误 、 符 合 语法 输入 的 
和 不 符合 语法 的 输入 等 。 根 据 被 测 软件 对 各 类 输入 的 处 理 情况 ,确定 被 测 软 件 是 否 存在 安 
全 缺陷 。 语 法 测试 适用 于 被 测 软件 有 较 明确 的 接口 语法 且 语 法 易于 表达 并 生成 测试 输入 的 
情况 。 语 法 测试 结合 故障 注入 技术 可 使 得 测试 效果 更 好 。 

7) 模糊 测试 

模糊 测试 将 不 合 逻 辑 的 随机 数据 插入 程序 ,检查 程序 是 否 能 容忍 杂乱 输入 ,以 发 现 安全 
漏洞 或 采用 其 他 逻辑 思维 难以 发 现 的 安全 缺陷 。 模 糊 测 试 只 是 产生 杂乱 数据 攻击 程序 ,并 
不 符合 多 辑 。 模 糊 测试 可 使 用 语法 规则 来 产生 正常 的 输入 ,也 可 用 基于 特定 程序 的 输入 结 
合 试探 法 来 指导 输入 变量 的 生成 。 

8) 基于 渗透 的 安全 性 测试 

渗透 测试 使 用 人 工 方 法 或 者 自动 化 工具 模拟 黑客 输入 ,对 应 用 系统 进行 攻击 性 测试 ,从 
而 找 出 软件 运行 时 存在 的 安全 漏洞 。 渗 透 测 试 根据 是 否 采用 直接 进入 目标 系统 或 网 络 内 部 
的 方式 去 收集 信息 ,一 般 可 分 为 主动 攻击 和 被 动 攻击 两 种 类 型 。 渗 透 测 试 的 结果 一 般 都 比 
较真 实 有 效 , 发 现 的 问题 都 是 正确 且 比较 严重 的 ,缺点 是 模拟 的 测试 数据 只 能 到 达 有 限 的 测 
试点 ,覆盖 率 很 低 。 

9) 基于 风险 的 安全 性 测试 

基于 风险 的 安全 性 测试 将 软件 开发 过 程 结合 风险 分 析 与 管理 和 安全 测试 ,在 软件 开发 
各 个 阶段 将 有 风险 的 安全 漏洞 考虑 在 内 ,通过 风险 分 析 、 误 用 模式 、 异 常 场景 和 渗透 测试 等 
技术 , 尽 可 能 早 地 发 现 高 风险 的 安全 漏洞 。 基 于 风险 的 安全 性 测试 的 实质 是 将 安全 测试 相 
关 过 程 集成 到 软件 开发 生命 周期 中 去 ,在 最 短 的 时 间 内 以 最 少 的 资源 有 效 地 达成 用 户 需求 ， 
确保 软件 质量 ,减轻 后 期 的 维护 工作 。 

2. 典型 的 软件 安全 性 测试 方法 

根据 特点 的 不 同 ,可 将 软件 安全 性 测试 方法 分 为 3 类: 基于 形式 化 模型 的 软件 安全 性 
测试 方法 、 基 于 可 靠 性 分 析 方 法 的 软件 安全 性 测试 方法 和 基于 软件 测试 方法 的 软件 安全 性 
测试 方法 。 下 面 对 这 些 方法 进行 详细 描述 ,并 进行 分 析 比 较 。 

1) 基于 形式 化 模型 的 软件 安全 性 测试 方法 

根据 前 面 的 介绍 我 们 已 经 知道 ,形式 化 软件 安全 性 测试 方法 可 分 为 两 类 : 模型 检验 方 
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法 和 定理 证 明 方 法 。 

(1) 基于 模型 检验 的 软件 安全 性 测试 方法 。 

模型 检验 方法 用 状态 迁移 系统 P 描述 软件 的 行为 ,用 逻辑 公式 Q 表示 软件 执行 必须 满 
足 的 性 质 ,通过 自动 搜索 P 中 不 满足 公式 Q 的 状态 来 发 现 软件 中 的 漏洞 。 

模型 检验 技术 的 基本 思想 是 用 自动 机 模型 表示 系统 ,用 某 种 逻辑 公式 来 表示 系统 要 验 
证 的 属性 ,采用 穷 举 状态 空间 的 方式 来 证 明 系 统 的 模型 是 否 满足 要 验证 的 属性 。 此 方法 利 
用 内 置 的 结构 形式 分 析 , 即 模型 检验 中 的 状态 机 描述 来 驱动 测试 过 程 ,给 测试 工程 师 提供 了 
生成 和 评估 安全 性 测试 集 的 方法 。 

模型 检验 方法 的 流程 如 图 6.3 所 示 。 其 中 , 方 框 代表 测试 过 程 中 的 活动 。 在 此 图 中 , 系 
统 规格 说 明和 覆盖 率 标准 共同 驱动 测试 需求 ,测试 需求 通过 检验 模型 再 次 评估 系统 需求 ,每 
个 模型 检验 的 范例 对 应 一 个 满足 给 定 测试 需求 的 测试 用 例 , 通 过 收集 和 裁剪 这 些 用 例 消除 
各 种 元 余 , 最 后 生成 满足 所 有 可 行 测试 需求 的 测试 集 。 测 试 集 的 测试 需求 符合 与 系统 规格 
说 明 相关 的 覆盖 率 标准 。 


系统 规格 | - :' 
说 明 

测试 需求 | - =| 检 验 模型 
获 盖 率 | _ 

标准 


(2) 基于 定理 证 明 的 软件 安全 性 测试 方法 。 

基于 定理 证 明 的 软件 安全 性 测试 方法 将 程序 转换 为 逻辑 公式 ,然后 使 用 公理 和 规则 证 
明 程 序 是 一 个 合法 的 定理 。 基 于 定理 证 明 的 软件 安全 性 测试 方法 一 般 只 用 于 验证 设计 阶段 
的 程序 规范 而 非 实际 代码 ,原因 是 定理 证 明 过 程 非常 耗 时 费力 。 

2) 基于 可 靠 性 分 析 法 的 软件 安全 性 测试 方法 

(1) 基于 故障 树 分 析 的 软件 安全 性 测试 方法 。 

基于 故障 树 分 析 的 安全 性 测试 利用 故障 分 析 树 和 故障 树 的 最 小 割 集 生 成 软件 安全 性 测 
试用 例 。 故 障 树 分 析 法 将 系统 故障 形成 的 原因 由 总 体 到 部 分 按 树 状 划分 ,以 系统 最 不 希望 
发 生 的 事件 作为 故障 树 的 项 事件 ,寻找 导致 这 一 故障 发 生 的 全 部 可 能 因素 ,用 倒立 树 状 图 形 
表示 出 顶 事件 与 底 事件 之 间 的 逻辑 关系 ,绘制 故障 树 ,然后 搜索 出 最 小 割 集 , 并 以 最 小 割 集 
为 依据 生成 软件 安全 性 测试 用 例 。 最 小 割 集 是 由 故障 树 的 某 几 个 底 事件 组 成 的 集合 ,该 集 
合 中 的 底 事件 同时 发 生 能 引起 顶 事 件 的 发 生 , 并 且 去 掉 此 集合 中 任何 一 个 底 事件 将 不 再 能 
引起 顶 事件 的 发 生 。 对 大 型 复杂 软件 系统 的 测试 使 用 基于 故障 树 的 安全 性 测试 ,能 够 有 效 
提高 测试 效率 ,明显 提高 测试 的 自动 化 程度 和 软件 安全 性 测试 的 充分 性 。 

故障 树 中 底 事件 的 语义 解释 根据 应 用 领域 的 不 同 而 不 同 ,因此 出 现 了 一 种 基于 形式 化 
故障 树 分 析 建 模 的 软件 安全 性 测试 方法 。 它 将 故障 树 的 叶 节点 语义 形式 化 为 一 个 实时 间隔 
逻辑 持续 时 间 计 算 公式 ,此 公式 以 时 间 为 变量 ,消除 故障 树 的 语义 模糊 性 ,形成 形式 化 故障 
树 。 基 于 形式 化 故障 树 分 析 的 安全 性 测试 方法 对 软件 需求 规格 说 明 进 行 等 级 划分 ,利用 形 
式 化 故障 树 表示 安全 性 需求 ,搜索 出 形式 化 故障 树 的 所 有 最 小 割 集 , 在 此 基础 上 运用 基于 制 


裁剪 “[ -| 测试 集 


6.3 ”模型 检验 方法 生成 测试 集 
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集 的 安全 性 测试 用 例 动态 扩展 算法 来 设计 测试 用 例 。 

(2) 基于 Petri 网 的 软件 安全 性 测试 方法 。 

Petri 网 具有 简洁 、 直 观 和 潜在 模拟 能 力 强 等 特点 ,基于 Petri 网 的 软件 安全 性 测试 方法 
利用 这 些 特点 ,在 因果 关系 作用 下 进行 推演 ,体现 了 系统 的 动态 行为 特征 。 基 于 Petri 网 的 
软件 安全 性 测试 方法 有 两 种 : 正 向 分 析 法 和 逆向 分 析 法 。 

正 向 分 析 法 的 过 程 是 首先 建立 完整 的 状态 标识 表 和 可 达 图 ,得 到 Petri 网 的 可 达 集 , 建 
立 相应 的 Petri 网 模型 ,然后 在 可 达 集 中 搜索 包含 任意 一 个 状态 的 所 有 状态 标识 ,并 将 这 些 
标记 为 危险 标识 ,从 初始 状态 到 该 危险 标识 的 每 个 变迁 序列 均 可 设计 为 一 个 测试 用 例 。 每 
个 危险 标识 应 至 少 生成 一 个 用 例 , 这 些 用 例 构成 了 针对 该 Petri 网 模型 的 软件 安全 性 测试 
用 例 集 。 正 向 分 析 法 可 以 快速 地 求 出 测试 用 例 集 ,并 能 有 效 地 提高 测试 自动 化 程度 。 

对 于 逻辑 和 结构 比较 复杂 的 系统 , 正 向 分 析 法 生成 完整 的 可 达 图 和 状态 标识 集 是 比较 
困难 的 ,而 且 容易 形成 组 合 爆炸 的 问题 ,这 是 正 向 分 析 法 的 缺陷 。 而 逆向 分 析 法 构造 所 有 可 
能 导致 软件 危险 的 危险 状态 ,然后 分 析 求 出 由 初始 状态 到 该 危险 状态 可 能 的 路 径 ,通过 构造 
测试 用 例 来 验证 该 路 径 是 可 行 的 。 逆 向 分 析 法 要 针对 具体 问题 具体 分 析 。 

3) 基于 软件 测试 方法 的 软件 安全 性 测试 方法 

(1) 基于 接口 语法 的 软件 安全 性 测试 方法 。 

语法 测试 的 主要 思想 是 根据 被 测 软 件 的 功能 接口 的 语法 生成 测试 输入 ,检测 被 测 软件 
对 各 类 输入 的 响应 ,软件 的 接口 明确 或 隐 含 地 规定 了 输入 的 语法 。 软 件 的 接口 包括 多 种 类 
型 : 数据 总 线 文件 、 命 令 行 、 环 境 变量 和 套 接 字 等 。 接 口语 法 测试 定义 了 软件 所 接受 的 输 
和 数据 类 型 和 格式 。 

基于 接口 语法 的 软件 安全 性 测试 的 步骤 如 下 : 

Q@ 识别 被 测 软件 接口 的 语言 ,定义 语言 的 语法 。 

@ 根据 语法 生成 测试 用 例 。 其 中 ,生成 的 测试 输入 应 包含 各 类 语法 错误 .符合 语法 的 
输入 和 不 符合 语法 的 输入 等 。 

G) 通过 执行 测试 检验 被 测 软件 对 各 类 输入 的 处 理 情 况 , 确 定 被 测 软件 是 否 存在 安全 
缺陷 。 

接口 语法 测试 法 适用 于 被 测 软件 有 较 明 确 的 接口 语法 且 语 法 易于 表达 并 生成 测试 输入 
的 情况 。 语 法 测试 结合 故障 注入 技术 可 以 得 到 更 好 的 测试 效果 。 

(2) 基于 猜 错 法 的 软件 安全 性 测试 方法 。 

基于 猜 错 法 的 软件 安全 性 测试 方法 依据 经 验 直觉 或 对 被 测试 系统 的 兴趣 ,在 按 规则 生 
成 的 测试 用 例 集 之 外 添加 一 些 另 类 的 用 例 。 此 方法 可 为 用 例 所 涉及 的 实体 定义 一 系列 关 
系 , 借 助 这 些 关系 实现 用 例 的 自 描述 ,并 和 新 的 软件 测试 背景 匹配 ,实现 用 例 的 再 生 。 用 例 
的 自 描述 和 再 生 过 程 也 需要 一 系列 的 规则 ,这 些 规则 是 基于 用 例 描述 的 ,而 非 基 于 功能 需求 
的 。 规 则 只 存在 于 被 描述 的 用 例 中 , 随 着 猜 错 用 例 描述 的 不 同 而 不 同 。 用 例 之 间 在 描述 上 
都 是 相互 独立 的 ,在 运算 上 也 不 会 相互 牵制 。 由 于 猜 错 用 例 的 总 数 是 有 限 的 ,将 其 纳入 测试 
自动 化 后 ,要 将 测试 任务 运算 量 上 的 增加 限制 在 可 接受 的 范围 内 。 

利用 这 种 方法 可 以 解决 用 例 的 测试 自动 化 问题 ,还 可 以 提高 测试 的 充分 性 。 

下 面 对 上 述 各 种 软件 安全 性 测试 方法 进行 分 析 对 比 : 

(1) 基于 形式 化 模型 的 软件 安全 性 测试 方法 。 
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Q@ 基于 模型 检验 的 软件 安全 性 测试 方法 优点 是 可 以 生成 满足 所 有 可 行 测试 需求 的 测 
试 集 ,去 除了 人 工 参 与 ,减少 了 出 错 的 可 能 性 ,与 传统 测试 方式 相 比 , 采 用 了 穷 举 方式 ,更 能 
保证 软件 的 质量 。 缺 点 是 测试 准则 和 检验 模型 不 易 建 立 ,而 且 减 少 元 余 测 试用 例 的 算法 实 
现 起 来 比较 困难 。 由 于 需要 穷尽 程序 的 所 有 实际 执行 状态 ,导致 模型 检验 的 效率 较 低 , 对 于 
无 穷 状态 系统 更 加 难以 检验 。 

@ 基于 定理 证 明 的 软件 安全 性 测试 方法 的 证 明 过 程 非常 耗 时 费力 ,一 般 只 用 于 验证 设 
计 阶 段 的 程序 规范 而 非 实际 代码 ,导致 实际 使 用 范围 受到 了 一 定 的 限制 ,而且 定理 证 明 过 程 
难以 完全 自动 化 ,需要 高 素质 分 析 人 员 的 大 量 参与 。 

(2) 基于 可 靠 性 分 析 方 法 的 软件 安全 性 测试 方法 。 

@ 基于 故障 树 分 析 的 软件 安全 性 测试 方法 利用 了 故障 树 的 最 小 割 集 , 提 高 了 软件 安全 
性 测试 的 充分 性 ,而且 便于 推广 ,缺点 是 故障 树 分 析 和 最 小 割 集 搜索 过 程 的 工作 量 较 大 ,而 
且 从 安全 性 需求 到 形式 化 故障 树 的 转化 不 易 实 现 。 使 用 该 方法 时 需要 通过 自动 化 手段 来 减 
少 人 工 的 工作 量 , 同 时 要 明确 从 安全 性 需求 到 形式 化 故障 树 转化 的 方法 和 准则 。 

@ 基于 Petri 网 的 软件 安全 性 测试 方法 分 为 正 向 分 析 法 和 逆向 分 析 法 。 正 向 分 析 法 利 
用 了 Petri 网 的 特点 ,有 助 于 进行 全 面 分 析 , 缺 点 是 需要 生成 完整 的 状态 标识 集 和 可 达 图 ， 
对 逻辑 和 结构 复杂 的 系统 的 分 析 较 难 完成 ,而 且 容 易 形 成 组 合 爆炸 的 问题 。 逆 向 分 析 法 虽 
然 可 以 避免 组 合 爆炸 问题 ,但 是 这 种 分 析 并 不 全 面 ,需要 针对 具体 问题 进行 具体 分 析 ,而且 
由 初始 状态 到 危险 状态 的 路 径 分 析 很 难 通过 人 工 实现 ,因此 逆向 分 析 法 常用 于 分 析 系 统 关 
键 层 或 模块 。 

(3) 基于 软件 测试 方法 的 软件 安全 性 测试 方法 。 

Q@ 基于 接口 语法 的 软件 安全 性 测试 方法 的 优点 是 可 以 与 软件 测试 过 程 结合 ,节约 测试 
成 本 ,易于 表达 语法 和 生成 测试 输入 ,缺点 是 使 用 范围 有 限 ,需要 与 其 他 方法 配合 使 用 进行 
测试 。 接 口 的 不 同 也 增 大 了 方法 推广 的 难度 。 

@ 基于 猜 错 法 的 软件 安全 性 测试 方法 经 过 自 描述 处 理 后 生成 测试 用 例 ,这 些 用例 具 有 
普遍 适用 性 , 自 描述 用 例 可 以 根据 在 新 的 软件 测试 任务 中 找到 匹配 的 背景 ,重新 变 成 在 新 背 
景 下 的 测试 用 例 。 缺 点 是 用 例 自 描述 和 再 生 过 程 规则 不 易 实 现 ,而 且 用 例 生成 方法 主观 因 
素 较 大 ,对 分 析 者 的 要 求 较 高 ,不 易 推 广 使 用 。 

通过 对 上 述 软件 安全 性 测试 方法 进行 的 分 析 对 比 , 它 们 的 优 缺 点 如 表 6.1 所 示 。 

表 6.1 各 种 软件 安全 性 测试 方法 的 分 析 对 比 


软件 安全 性 测试 方法 优 点 缺 ”点 
1. 测试 准则 和 检验 模型 不 易 建 立 
2. 减少 元 余 测 试用 例 的 算法 实现 


1. 去 除了 人 工 参 与 ,减少 了 出 错 
基于 形式 | 基于 模型 检验 的 软件 | ”的 可 能 性 


亚 用 窑 注 E 比较 困难 
化 模型 的 | 安全 性 测试 方法 2. 采用 穷 举 方式 ,更 能 保证 软件 3， 模 型 检验 的 效率 较 低 ,很 难 检验 
软件 安全 的 质量 a 
性 测试 无 穷 状态 系统 
1. 定理 证 明 过 程 难以 完全 自动 化 


方法 基于 定理 证 明 的 软件 |1. 通用 性 强 
安全 性 测试 方法 2. 逻辑 性 较为 严密 


[9 


. 证 明 过 程 耗 时 费力 ,实际 使 用 范 
围 受到 了 一 定 的 限制 
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软件 安全 性 测试 方法 


优 点 


续 表 


缺 点 


基于 FTA 的 软件 安全 


1. 有 利于 满足 软件 安全 性 测试 的 


1. 故障 树 分 析 和 最 小 割 集 搜索 过 


程 的 工作 量 较 大 


充分 性 大 
二 下 本 入 | 作 测 二 广 法 有 > 从 安全 竹 震 未 到 形式 化 故障 
人 的 转化 不 易 实现 | 
的 软件 安 | |， 1 简 清 、 直 观 .潜在 模拟 能 力 强 。 | 对 交界 和 结构 复杂 的 系统 的 分 
全 性 测试 | 车 了 Petri| 正 向 分 析 法 | > 有 助 于 进行 全 面 分 析 后 克 
大 二 ”| 网 的 软件 2. 容易 形成 组 合 爆炸 

安全 性 测 1 可 以 对 常用 忘 险 进 行 分 析 - 东 | 分 析 不 全 而 

试 方法 | 逆向 分 析 法 | 。 小 分 析 范围 2. 由 初始 状态 到 危险 状态 的 路 径 

2， 避免 组 合 爆炸 问题 分 析 通过 人 工 很 难 实现 

二 下 软件 | 下 接口 语法 的 软件 |1， 可 以 节约 测试 成 本 使 用 范 轩 有 限 
测试 这 | 安全 性 测试 方法 “|2 易于 表达 语法 并 生成 测试 输入 |2 不 易 推广 使 用 
的 软件 安 | 1 生成 的 用 例 具有 普遍 的 适用 性 | 用例 自 措 述 和 再 生 过 程 的 规则 
全 性 测试 | 基于 猿 错 法 的 软件 安 | > 可 以 提高 软件 安全 性 测试 的 充 | ， 不易 实现 
和 类 ”| 全 性 测试 方法 ee 2 用 例 生成 方法 主观 因素 较 大 ,不 


易 推 广 使 用 


通过 表 6. 1 可 以 看 出 ,以 上 这 些 软件 安全 性 测试 方法 各 有 优 缺 点 ,在 使 用 这 些 方法 时 需 
综合 考虑 各 方面 因素 ,制定 合理 的 测试 策略 。 例 如 ,在 测试 时 可 以 先 通过 基于 可 靠 性 分 析 


要 综合 


方法 对 测试 的 全 面 性 进行 把 握 ,然后 运用 定理 证 明 法 验证 设计 阶段 的 程序 规范 ,使 用 模型 检 


验 法 提高 测试 效率 ,最 后 可 用 猜 错 法 或 接口 语法 测试 进行 补充 。 


6.3.2 软件 安全 性 测试 过 程 


软件 安全 性 测试 包含 的 内 容 如 下 : 
(1) 验证 每 个 软件 安全 性 需求 都 有 相应 的 软件 安全 性 测试 相对 应 。 
(2) 证 明 每 个 软件 安全 性 需求 都 通过 一 个 或 多 个 测试 得 到 了 满足 。 
(3) 通过 测试 分 析 和 软件 实现 ,评估 相关 的 风险 。 
(4) 判断 给 出 的 软件 安全 性 测试 具有 充分 性 。 
软件 安全 性 测试 的 主要 过 程 如 图 6.4 所 示 。 

(1) 确认 软件 安全 性 测试 规程 。 

要 求 软件 安全 工程 师 检 查 所 建立 的 规程 ,并 验证 规程 是 否 完全 地 对 软件 安全 性 需求 进 


行 测试 。 


(2) 执行 和 监督 软件 安全 性 测试 。 
为 了 确认 软件 安全 性 测试 规程 和 判断 该 规程 对 软件 安全 性 可 能 产生 的 影响 ,软件 安全 
性 测试 团队 需要 对 软件 安全 性 测试 进行 监督 。 
(3) 整理 和 分 析 测试 数据 。 
要 将 测试 数据 整理 为 有 用 的 形式 ,以 便 发 现 通常 难以 发 现 的 异常 数据 。 数 据 整理 的 过 
程 是 实现 是 通过 抽取 测试 期 间 记 录 的 数据 来 推导 性 能 和 其 他 参数 ,并 将 其 表示 为 易 理解 的 


显示 信息 。 


为 了 标识 与 安全 性 相关 的 异常 和 不 安全 的 因素 需要 对 测试 数据 进行 分 析 。 不 安全 因素 
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确认 软件 安全 
性 测试 的 规程 


立 | 重新 测试 失败 
的 系统 需求 


编写 软件 安全 
性 测试 报告 


6.4 软件 安全 性 测试 过 程 


可 能 是 规程 .设计 、 实 现 、 测 试用 例 或 测试 环境 中 的 错误 。 

(4) 重新 测试 失败 的 系统 需求 。 

通常 情况 下 ,由 于 某 些 条 件 的 限制 ,一 次 测试 并 不 能 确认 全 部 的 软件 安全 性 需求 ,需要 
通过 回归 测试 来 保证 功能 的 充分 安全 。 

(5) 编写 软件 安全 性 测试 报告 。 

软件 安全 性 测试 报告 内 容 包括 标识 所 进行 的 测试 和 分 析 测 试 的 结果 。 在 测试 报告 中 ， 
软件 安全 性 测试 团队 使 用 测试 结果 来 更 新 安全 需求 标准 分 析 中 的 需求 可 追踪 性 矩阵 ,对 系 
统 和 软件 进行 的 初步 分 析 和 详细 分 析 也 需要 进行 更 新 。 软 件 安全 性 测试 报告 附加 到 系统 安 
全 性 测试 报告 中 。 


6.3.3 软件 安全 性 测试 工具 


通过 自动 化 或 半自动 化 的 方式 ,软件 安全 性 测试 工具 可 以 验证 系统 安全 功能 是 否 正确 
运行 ,安全 机 制 是 否 有 效 ,并 发 现 潜在 的 安全 漏洞 ,这样 可 有 效 提高 测试 效率 ,降低 软件 的 安 
全 风险 。 

安全 性 测试 工具 有 很 多 种 。 根 据 测试 对 象 的 层次 可 分 为 主机 安全 测试 工具 、 网 络 安全 
测试 工具 和 应 用 安全 测试 工具 。 这 种 分 类 方法 跨度 较 大 ,范围 设计 较 广 ,而 且 难 以 识别 每 类 
工具 的 功能 .特点 和 属性 ,不 利于 测试 人 员 选 择 。 根 据 安全 测试 工具 的 不 同 功能 ,可 将 安全 
测试 工具 分 为 源 代 码 分 析 器 数据库 脆弱 性 扫描 器 、 网 络 漏洞 扫描 器 `Web 应 用 漏洞 扫描 
器 .Web 服务 扫描 器 ,动态 分 析 工 具 ,配置 分 析 工 具 、 需 求 验证 工具 .设计 模型 验证 工具 。 

源 代码 分 析 器 又 可 分 为 静态 源 代 码 分 析 器 和 高 级 源 代码 分 析 器 。 静 态 源 代码 分 析 器 主 
要 扫描 源 代码 匹配 安全 缺陷 代码 模式 ,可 检测 格式 化 字符 串 ,缓冲 区 溢出 和 竞争 条 件 等 安全 
漏洞 。 高 级 源 代码 分 析 器 对 代码 执行 数据 流 和 控制 流 分 析 , 以 降低 误 报 率 ,并 根据 安全 漏洞 
类 型 或 优先 级 生成 问题 报告 。 男 外 可 以 采用 反 汇 编 技 术 与 模式 识别 技术 ,脱离 源 代码 ,扫描 
可 执行 二 进 制 代码 或 DLL 文件 发 现 安 全 漏洞 ,执行 更 低层 次 的 安全 性 测试 ,但 是 误 报 率 较 
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高 。 对 于 Java 字 节 码 也 可 以 进行 扫描 ,以 发 现 可 能 的 安全 漏洞 。 

数据 库 脆弱 性 扫描 器 以 客户 端 形式 执行 各 种 SQL 查询 ,查找 数据 库 安 全 配置 的 相关 弱 
点 ,如 访问 控制 .授权 和 弱 口 令 等 。 数 据 库 脆弱 性 扫描 器 有 渗透 攻击 和 审计 两 种 典型 工作 模 
式 。 数 据 库 脆弱 性 扫描 器 易于 使 用 ,容易 发 现 配 置 管理 方面 的 安全 漏洞 ,但 对 数据 库 中 敏感 
数据 缺乏 语义 理解 。 

网 络 漏洞 扫描 器 的 工作 原理 是 远程 扫描 目标 主机 开放 的 端口 .操作 系统 类 型 和 和 运行 的 
服务 等 ,发 现 其 相关 的 安全 漏洞 。 

Web 应 用 漏洞 扫描 器 模拟 Web 客户 端 ,执行 特权 URL 扫描 ,脆弱 CGI 扫描 等 。 它 记 
录 HTTP 交互 ,在 后 续 交 互 中 注入 恶意 负载 ,以 观察 响应 数据 ,发 现 SQL 注入 、Cookie 中 
毒 、 跨 站 脚本 和 目录 遍历 等 安全 漏洞 。 

Web 服务 扫描 器 主要 用 于 测试 Web 服务 的 安全 功能 并 识别 安全 漏洞 。 它 可 扫描 
WSDL 文件 ,列举 Web 服务 提供 的 方法 ,操纵 方法 调用 生成 的 各 种 输入 参数 ,测试 XML 消 
息 加 密 、 签 名 和 签名 验证 等 安全 功能 。 

配置 分 析 工 具 对 主机 、 应 用 服务 器 和 应 用 程序 等 的 配置 文件 进行 静态 分 析 ,发 现 与 配置 
相关 的 安全 问题 。 

动态 分 析 工 具 在 程序 运行 时 构造 异常 场景 ,测试 软件 是 否 存在 安全 缺陷 。 它 的 功能 包 
括 记录 函数 执行 信息 ,执行 边界 检查 ,截获 系统 调用 ,执行 文件 系统 、 网 络 接口 、 系 统 资源 等 
故障 注入 ,识别 内 存 泄漏 .类 型 不 匹配 和 不 可 达 代 码 等 安全 问题 。 
需求 验证 工具 主要 验证 软件 安全 需求 说 明 是 否 满足 正确 性 ` 完 备 性 和 一 致 性 。 
设计 模型 验证 工具 验证 软件 的 设计 模型 是 否 存在 安全 缺陷 。 

表 6.2 列 出 了 一 些 常 用 的 安全 性 测试 工具 。 
表 6.2 常用 安全 性 测试 工具 


工具 类 型 开源 或 免费 商 用 
RATS, UNO, lawFinder, BOON., |Source Code Analysis Suite,Prexis,K7,CodeAssure, 
ASTREE, CQual, C Code Analyzer| Prevent，DevPartner SecurityChecker, C+ + Test/ 


源 代码 分 析 器 (CCA) ,Jlint,ITS4, Splint, LAPSE, |JTest/TEST WebKing, CodeScan, CodeCenter, 
Csur, PHP-Sat, PMD; FxCop,|CodeSonar, Devlnspect， SoftCheck Inspector, 
BugScam; FindBugs PolySpace; AspectCheck, BEAST; BugScan 
数据 库 脆弱 性 扫 MetaCortex AppDetective, Database Scanner 
描 器 
SuperScan,NMAP,Nessus,Metasploit | Internet Security Scanner, Retina, SARA， 
网 络 漏洞 扫描 器 | ~ i i 
Framework NTOSpider,GFI LANguard,SAINT 
Nikto, Wikto, EOR, OWASP|AppScan.Burp suite, Weblnspect, N-Stalker Web 
Web 应 用 漏洞 扫 i 2 ; 
描 器 WebScarab, OWASP Berretta, Paros| Application Security Scanner, Acunetix Web 
ProxySpike Proxy, Pantera Vulnerability Scanner 
SOATest, SOAPbox, SOAPSonar, SOAPScope, 
Pushtotest TestMaker, Foundstone| XRay Diagnosis, QEngine, WebServiceTester, e- 
Web 服务 扫描 器 


WSDigger EST siite tn: Wb, Seices. Testiiey TisK 
Complete SOA Test Suite 
配置 分 析 工 具 Foundstone SSLDigger, PermCalc Desaware CAS 


动态 分 析 工 具 NProf, CLR Profiler Compuware BoundsChecker 
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6.4 本 章 小 结 


本 童 介绍 了 信息 系统 安全 测试 方面 的 内 容 , 简 单 地 介绍 了 关于 测试 的 基本 概念 和 硬件 
安全 方面 的 内 容 ,详细 地 介绍 了 软件 安全 性 测试 的 内 容 ,主要 介绍 了 软件 安全 性 测试 的 几 种 
方法 ,另外 还 对 软件 安全 性 测试 流程 和 一 些 测试 工具 也 进行 了 简单 的 介绍 。 


中 


6.5 习 题 


. 信息 系统 测试 的 目标 和 原则 是 什么 ? 

. 概述 硬件 安全 方面 的 内 容 。 

. 概述 软件 安全 性 测试 的 主要 方法 。 

. 简 述 常用 的 3 类 软件 安全 性 测试 方法 ,并 进行 比较 。 
. 简 述 软件 安全 性 测试 的 过 程 。 

. 简要 列举 一 些 软 件 安全 性 测试 工具 并 说 明 其 功能 。 
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安全 管理 在 信息 系统 运营 中 占据 重要 地 位 。 管 理 是 在 群体 活动 中 为 了 完成 一 项 任务 ， 
实现 既定 目标 ,针对 特定 对 象 ,遵循 确定 原则 ,按照 规定 程序 ,运用 适当 的 方法 ,所 进行 的 计 
划 、 组 织 、 指 挥 ,协调 和 控制 等 活动 。 保 障 信息 系统 安全 可 靠 并 妥善 管理 信息 资源 是 信息 系 
统 运 营 中 的 安全 管理 所 要 实现 的 目标 。 安 全 管理 是 信息 系统 安全 体系 结构 中 最 具 能 动 性 的 
部 分 。 实 际 上 ,很 多 安全 事件 和 安全 隐患 的 发 生 ,与 其 说 是 技术 上 的 不 足 , 不 如 说 是 管理 不 
善 。 随 着 信息 技术 的 飞速 发 展 , 在 运用 高 新 技术 安全 产品 的 同时 ,安全 管理 仍然 是 值得 关 
注 \ 不 容 忽 视 的 。 


7.1 安全 组 织 结构 


安全 管理 的 实现 依赖 于 组 织 的 行为 ,信息 系统 的 建设 离 不 开 各 级 机 构 的 协调 工作 ,做 
好 安全 管理 工作 必须 建立 与 信息 系统 规模 和 重要 程度 相 适应 的 安全 组 织 结构 。 完 善 的 
安全 组 织 结构 是 组 织 安全 管理 的 前 提 条 件 。 为 了 实现 安全 管理 ,组 织 应 该 设立 专门 的 安 
全 管理 机 构 ,并 分 配 专门 的 安全 管理 人 员 , 同 时 还 应 该 建立 完善 的 安全 技术 设施 和 安全 
管理 制度 。 

1. 组 织 结构 建设 

信息 系统 运行 效率 的 高 低 很 大 程度 上 取决 于 组 织 管理 是 否 有 效 。 为 了 有 效 实施 信息 系 

统 安全 方针 ,完成 具体 的 安全 活动 并 保护 信息 资产 ,组织 应 该 确立 信息 安全 组 织 机 构 并 明确 
安全 责任 ,明确 与 信息 系统 安全 活动 有 关 的 管理 ,执行 、 验 证 等 人 员 的 职责 ,并 确保 职责 的 正 
确 履行 。 组 织 应 设立 信息 系统 安全 管理 职能 部 门 ,领导 管理 信息 系统 的 安全 运营 工作 。 部 
门 成 员 包 括 安全 管理 主管 .安全 管理 员 、 系 统管 理 员 ,数据 管理 员 、 应 用 管理 员 安全 保密 员 、 
安全 监督 员 、 系 统 维护 员 以 及 数据 备份 专员 等 。 加 强 各 岗位 人 员 之 间 、 组 织 内 部 机 构 之 间 的 
合作 与 交流 沟通 ,定期 或 不 定期 召开 协调 会 议 ,共同 协作 处 理 信 息 系统 安全 问题 。 安 全 管理 
职能 机 构 的 成 员 及 职责 分 配 如 下 : 

。 安全 管理 主管 。 负 责 组 织 .指导 信息 系统 安全 运行 策略 和 方案 ,协调 各 方面 人 员 完 
成 系统 信息 处 理 任务 ,保证 系统 结构 的 完整 性 ,确定 系统 改善 或 扩充 的 方向 ,并 组 织 
系统 修改 及 扩充 工作 。 

。 安全 管理 员 。 负 责 保障 信息 系统 包括 物理 层 、 网 络 层 、 系 统 层 、 数 据 层 、 应 用 层 在 内 
的 各 个 层面 的 安全 管理 ,目标 是 整个 系统 安全 、 可 靠 地 运行 。 

。 系统 管理 员 。 负 责 按 照 信息 系统 规定 的 制度 与 规程 对 系统 环境 ,硬件 设备 、 系 统 软 
件 、 网 络 情况 进行 日 常 的 运行 管理 ,保障 系统 的 安全 稳定 运行 。 

。 应 用 管理 员 。 对 信息 系统 应 用 程序 软件 进行 安装 部 署 和 管理 ,同时 在 安全 管理 主管 
的 组 织 之 下 ,完成 系统 的 修改 和 扩充 ,保障 信息 系统 的 可 用 性 。 
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。 数据 管理 员 。 负 责 数 据 库 的 管理 以 及 数据 层面 的 安全 保障 。 定 期 对 数据 进行 备份 ， 
当 数据 出 现 问题 时 按 要 求 及 时 恢复 ,保障 数据 的 完整 性 和 有 效 性 。 

。 安全 保密 员 。 贯 彻 落实 安全 保密 制度 ,执行 信息 系统 安全 保密 工作 ,确保 系统 敏感 
信息 在 传输 和 存储 过 程 中 的 机 密 性 和 完整 性 。 

。 安全 监督 员 。 负 责 监督 和 检查 系统 安全 运行 的 执行 情况 。 

。 系统 维护 员 。 负 责 信息 系统 网 络 和 设备 的 安装 、 维 修 、 维 护 、 升 级 管理 .使 用 和 保养 


等 五 作 。 
。 数据 备份 专员 。 负 责 重要 信息 资源 和 关键 设备 的 备份 工作 。 
2. 组 织 安全 管理 


1) 信息 处 理 设施 授权 

信息 处 理 设施 包括 计算 机 网 络 设施 、 硬 件 设 备 .通信 设施 、 软 件 、 安 全 产品 等 。 对 信息 处 
理 设 施 的 采购 .验收 和 授权 过 程 应 遵循 严格 的 管理 制度 ,设施 的 审批 与 验收 能 够 防止 产品 质 
量 问题 和 安全 隐患 ,避免 新 设施 无 法 兼容 原 有 设施 的 情况 出 现 。 信 息 处 理 设施 的 使 用 应 该 
经 过 严格 的 授权 ,防止 非 授权 用 户 滥用 。 

2) 审核 和 检查 

根据 组 织 制定 的 系统 审核 和 检查 规范 ,遵照 程序 定期 执行 系统 审核 和 系统 检查 活动 ,并 
由 专人 负责 检查 包括 网 络 环境 、 系 统 运行 ,漏洞 及 数据 备份 等 情况 。 系 统 内 部 人 员 或 上 级 单 
位 负责 定期 进行 系统 全 面 检查 ,包括 系统 管理 制度 的 执行 情况 .安全 策略 与 安全 配置 是 否 一 
致 . 现 有 技术 措施 是 否 有 效 等 。 系 统 检查 结果 经 过 汇总 ,形成 详细 的 系统 检查 报告 。 

3) 信息 系统 安全 独立 审计 

组 织 机 构 对 信息 系统 安全 方针 的 评审 应 保持 相对 的 独立 性 , 即 被 审核 方 与 审核 方 应 
无 直接 利害 关系 ,确保 审计 结果 的 公平 与 公正 。 审 核 方式 包括 内 部 审核 与 第 三 方 审核 
两 种 。 

4) 信息 安全 专家 建议 

组 织 机 构 应 指定 具有 一 定安 全 技术 和 实践 经 验 的 内 部 技术 人 员 作 为 组 织 内 部 的 信息 安 
全 方面 的 顾问 ,负责 在 信息 安全 方面 提供 咨询 建议 。 当 信息 安全 事故 或 故障 发 生 时 ,安全 顾 
问 能 够 提供 技术 支持 。 另 外 ,安全 顾问 还 会 通过 不 同 的 渠道 收集 信息 安全 技术 与 管理 上 的 
安全 措施 ,在 组 织 内 部 进行 沟通 。 为 了 紧 跟 行业 趋势 ,了 解 最 新 评估 方法 和 监督 标准 ,组 织 
应 发 展 与 外 部 安全 专家 之 间 的 联系 。 由 于 外 部 专家 能 够 带 来 专业 知识 和 独立 见解 ,许多 组 
织 都 开始 依靠 外 部 安全 专业 人 士 ,一 些 经 常用 到 的 专家 有 信息 系统 审计 员 、 数 据 恢复 分 析 
师 等 。 

5) 第 三 方 访问 权限 控制 

企业 外 部 的 人 员 或 组 织 , 如 业务 合作 伙伴 、 供 应 商 或 承包 商 等 作为 第 三 方 要 求 对 信息 系 
统 进行 访问 时 ,组 织 要 按照 严格 的 安全 策略 ,控制 第 三 方 对 信息 和 信息 系统 的 访问 类 型 。 首 
先 系统 要 对 第 三 方 访问 执行 风险 评估 ,第 三 方 访问 的 结果 可 能 会 产生 敏感 信息 的 泄露 ,资产 
损害 等 风险 ,组 织 应 该 根据 风险 评估 结果 制定 控制 措施 并 予以 实施 。 组 织 应 该 明确 规定 第 
三 方 访问 信息 资源 以 及 设备 的 权限 和 责任 .尤其 是 对 敏感 信息 和 关键 设备 的 访问 ,都 要 做 出 
明文 规定 并 详细 记录 在 案 。 
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7.2 安全 人 事 管理 


信息 系统 是 由 人 研制 开发 的 ,目的 是 为 人 类 服务 的 工具 。 影 响 信息 系 统 安全 的 因素 , 除 
了 少数 难以 预测 的 自然 灾害 以 外 , 绝 大 多 数 的 安全 威胁 都 来 自 人 类 自己 ,如 有 意 对 信息 系统 
进行 攻击 和 破坏 的 黑客 .计算 机 病毒 ,以 及 无 意 的 操作 失误 等 。 因 此 ,人 始终 是 影响 信息 系 
统 安全 的 最 大 因素 ,人 事 管 理 是 安全 管理 重要 组 成 部 分 。 全 面 提高 信息 系统 相关 人 员 的 技 
术 水 平 .道德 品 质 ,政治 觉悟 和 安全 意识 是 信息 系统 安全 最 重要 的 保证 。 

1. 人 事 审查 

内 部 人 员 所 引发 的 安全 事件 不 在 少数 ,系统 的 安全 堡 全 往往 容易 从 内 部 攻破 ,所 以 内 部 
管理 人 员 的 素质 十 分 重要 。 人 事 管 理 的 核心 是 确保 有 关 专 业 人 员 具 备 良好 的 专业 素质 、 职 
业 道 德 .思想 素质 和 业务 素质 。 人 事 审查 是 加 强人 员 管 理 的 第 一 关 , 要 审查 的 内 容 包括 人 员 
的 安全 意识 法律 意识 .安全 技能 以 及 人 员 素 质 等 方面 。 

1) 安全 审查 标准 

政治 可 靠 、 作 风 正 派 、 思 想 先进 和 技术 合格 等 是 信息 安全 管理 人 员 应 具备 的 基本 素质 。 

不 同安 全 等 级 的 信息 系统 人 事 审查 标准 不 同 , 人 事 审查 必须 根据 信息 系统 所 规定 的 安 
全 等 级 确定 审查 标准 。 例 如 ,对 于 管理 机 要 信息 的 信息 系统 ,必须 按照 审查 机 要 人 员 的 标准 
审查 所 有 能 接触 到 该 系统 的 工作 人 员 。 

必须 保证 关键 岗位 人 员 的 绝对 安全 可 靠 ,并 不 得 存在 其 他 岗位 人 员 兼 职 的 情况 。 必 须 
经 过 严格 的 政审 ,并 要 考核 其 业务 能 力 才能 确定 信息 系统 管理 关键 岗位 人 选 ,包括 系统 管理 
员 、 安 全 负责 人 ,安全 管理 员 、 安 全 设备 操作 员 和 保密 员 等 。 例 如 ,对 安全 负责 人 的 审查 不 仅 
要 通过 严格 的 政审 ,还 要 考虑 工作 表现 及 态度 、 道 德 修 养 和 业务 能 力 等 方面 。 

人 事 审 查 首先 要 制定 合理 的 人 事 安排 方案 ,然后 因 岗 选 人 。 应 遵循 “ 先 测评 ,后 上 岗 , 先 
试用 ,后 聘用 ?的 原则 。 组 织 安全 管理 机 构 要 明确 所 有 人 员 在 信息 系统 安全 管理 中 的 责任 和 
权限 。 在 实际 操作 中 要 将 人 员 的 工作 、 活 动 范围 限制 在 可 以 完成 任务 的 最 小 范围 内 。 对 于 
可 能 涉及 机 密 信息 的 人 员 , 应 当 明 确 告知 其 所 承担 的 保密 义务 和 相关 责任 ,要 求 做 出 保密 
承诺 。 

2) 人 事 安 全 审查 

对 于 人 事 审查 应 当 有 详细 的 人 事 安全 审查 记录 ,并 对 其 进行 备案 ,不 管 是 正在 使 用 的 人 
员 还 是 新 录用 的 人 员 和 预备 录用 的 人 员 。 

人 事 安全 审查 主要 是 指 审查 对 于 可 能 接触 到 保密 信息 的 人 员 其 自身 素质 是 否 与 其 所 承 
担 的 保密 义务 相 适 应 ,检查 其 是 否 值得 信任 。 审 查 的 内 容 主 要 包括 人 员 的 政治 表现 、 保 密 意 
识 . 纪 律 性 .学历 真 实 性 ,简历 的 完整 性 .身份 证 明 . 业 务 熟 练 程度 价值观. 是 否 诚实 可 靠 ` 有 
无 不 良 记 录 、 身 体 状 况 等 。 

对 于 临时 聘任 或 者 接受 中 介 推 荐 给 组 织 的 人 员 也 要 进行 安全 审查 。 尽 量 不 要 让 临时 聘 
任 的 人 员 接 触 保密 级 别 较 高 的 信息 ,对 于 可 能 接触 到 这 些 信息 的 临时 工作 人 员 更 要 进行 详 
尽 的 审查 。 对 于 中 介 推 荐 的 人 员 ,组 织 要 与 中 介 签订 合同 ,明确 要 求 中 介 机 构 要 对 被 推荐 人 
进行 审查 ,如 有 疑虑 或 怀疑 ,必须 及 时 通知 组 织 。 对 于 中 介 机 构 推 荐 者 ,组 织 最 好 也 要 对 其 
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展开 独立 的 审查 。 

管理 人 员 要 对 新 来 人 员 进行 培训 和 监督 ,尤其 要 监督 那些 得 到 授权 接触 敏感 系统 的 工 
作 人 员 。 另 外 ,所 有 工作 人 员 的 工作 都 要 进行 定期 审查 。 

2. 人 员 安 全 教育 


人 员 带 给 系统 的 安全 威胁 通常 来 自 两 个 方面 : 一 是 有 关 人 员 故 意 泄露 ; 另 一 方面 是 信 
息 安 全 管理 人 员 安 全 意识 淡薄 ,对 信息 安全 管理 的 理解 不 到 位 ,专业 技能 不 足以 担当 所 承担 
的 保密 责任 。 前 一 种 安全 威胁 可 以 通过 人 事 审查 来 防止 信息 泄露 ,后 一 种 就 需要 通过 安全 
教育 ,提高 工作 人 员 的 安全 意识 ,并 确保 其 遵守 组 织 的 信息 系统 安全 方针 。 

1) 信息 系统 安全 教育 的 对 象 

安全 教育 的 对 象 ,包括 与 信息 安全 相关 的 所 有 人 员 , 主 要 有 : 

“ 攻 户 s 

。 领导 和 系统 管理 人 员 。 

。 信息 系统 的 工程 技术 人 员 。 

。 系统 设备 制造 商 。 

。 法 律 相 关 人 员 。 

2) 信息 系统 安全 教育 的 内 容 

安全 教育 和 培训 的 内 容 要 与 培训 对 象 所 接触 信息 的 保密 等 级 相 适 应 ,主要 包括 法 律 法 
规 教育 、 安 全 技术 和 安全 意识 教育 。 

(1) 法 律 法 规 教育 。 

法 律 法 规 教育 是 信息 系统 安全 教育 的 核心 ,与 信息 系统 相关 的 所 有 人 员 ( 包 括 领 导 、 管 
理 人 员 和 技术 人 员 等 ) 都 应 该 接受 信息 系统 安全 的 法 律 法 规 教育 。 

(2) 安全 技术 教育 。 

信息 系统 安全 管理 的 技术 教育 是 组 织 信息 系统 安全 的 技术 保证 ,常用 的 信息 系统 安全 
技术 有 加 密 技术 、 防 火 墙 技 术 、 防 病毒 技术 、 反 垃圾 邮件 技术 、 漏 洞 扫描 技术 、 入 侵 检测 技术 、 
备份 技术 等 。 为 了 防止 相关 人 员 使 用 信息 系统 时 误 操作 引起 安全 威胁 ,应 该 对 相关 人 员 进 
行 安全 技术 培训 和 教育 。 作 为 安全 技术 教育 的 一 部 分 ,还 须 了 解 信息 系统 的 风险 和 脆弱 点 ， 
以 及 与 此 有 关 的 风险 防范 措施 和 技术 。 

(3) 安全 意识 教育 。 

所 有 信息 系统 相关 人 员 都 应 当 接 受 安全 意识 教育 ,安全 意识 教育 的 主要 内 容 包 括 : 

。 组织 信息 安全 方针 与 控制 目标 。 

。 安 全 职责 ,安全 程序 及 安全 管理 规章 制度 。 

。 使 用 的 法 律 法 规 。 

。 防范 亚 意 软件 。 

。 与 安全 有 关 的 其 他 内 容 。 

除了 以 上 的 教育 和 培训 ,组 织 管理 者 应 根据 相关 人 员 所 接触 到 的 信息 保密 等 级 提供 相 
适应 的 专业 技能 。 

为 确保 与 信息 系统 安全 有 关 的 所 有 人 员 均 能 得 到 必要 的 培训 ,并 保证 培训 效果 ,分 管 培 
训 的 部 门 应 对 培训 活动 进行 策划 ,编制 培训 计划 并 按 计划 要 求实 施 培训 ,培训 结束 后 还 应 通 
过 适当 的 方式 进行 考核 。 
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3. 人 员 安 全 保密 管理 

1) 安全 保密 契约 管理 

组 织 要 求 员工 工作 之 前 签署 一 份 包括 不 泄露 组 织 秘密 .道德 准则 和 隐私 问题 在 内 的 安 
全 协定 ,明确 员工 的 保密 要 求 和 责任 。 

进入 信息 系统 工作 的 人 员 应 签订 保密 合同 ,承诺 其 对 系统 应 尽 的 安全 保密 义务 ,保证 在 
岗 工 作 期 间 和 离 岗 之 后 一 定时 期 内 , 均 不 得 违反 保密 合同 ,泄露 系统 秘密 。 对 违反 保密 合同 
的 人 员 应 进行 惩处 ,对 接触 机 密 信息 的 人 员 应 规定 在 离 岗 后 的 某 段 时 间 内 不 得 离 境 。 

保密 协议 的 目的 是 对 信息 的 保密 性 加 以 说 明 。 雇 员 在 受 雇 时 ,应 和 单位 签署 保密 协议 ， 
并 将 此 协议 作为 规章 制度 的 一 部 分 。 没 有 签署 保密 协议 的 临时 人 员 或 第 三 方 在 接触 信息 处 
理 设 备 之 前 必须 签署 临时 保密 协议 。 在 雇佣 合同 或 条 款 发 生变 动 时 ,特别 是 员工 要 离开 单 
位 或 其 合同 到 期 时 ,要 对 保密 协议 进行 修订 。 

2) 离 岗 人 员 安 全 管理 

组 织 必 须 有 人 员 调 离 的 安全 管理 制度 ,例如 ,人 员 调 离 的 同时 马上 收回 钥匙 、 移 交工 作 、 
更 换 口 令 .取消 账号 ,并 向 被 调 离 的 工作 人 员 申 明 其 保密 义务 。 

对 于 离开 工作 岗位 的 人 员 ,要 确定 该 工作 人 员 是 否 从 事 过 非常 重要 的 信息 方面 的 工作 。 
任命 或 提升 工作 人 员 时 ,只 要 涉及 接触 信息 处 理 系统 ,特别 是 处 理 敏感 信息 的 系统 ,如 处 理 
财务 信息 或 其 他 高 度 机 密 的 信息 系统 ,就 需要 对 该 员工 进行 信用 调查 。 对 握 有 大 权 的 工作 
人 员 ,此 类 信用 调查 更 要 定期 展开 。 

(1) 调 离 人 员 。 

调 离 岗位 人 员 应 做 到 及 时 移交 所 有 的 系统 材料 ,及 时 更 换 口令 ,重申 离 岗 后 承担 的 安全 
与 保密 责任 和 义务 。 

对 调 离 人 员 ,特别 是 在 不 情愿 的 情况 下 被 调 走 的 人 员 ,必须 认真 办 理 手续 。 除 人 事 手续 
外 ,还 必须 进行 调 离 谈话 ,申明 其 调 离 后 的 保密 义务 ,收回 所 有 钥匙 和 证 件 ,退还 全 部 技术 手 
册 及 有 关 材 料 。 系 统 必须 更 换 口 令 , 取 消 其 用 过 的 所 有 账号 。 在 调 离 决定 通知 本 人 的 同时 ， 
必须 立即 或 预先 进行 上 述 工作 ,不 能 拖延 。 

(2) 解聘 人 员 。 

涉及 信息 系统 安全 管理 的 人 员 ,在 解聘 时 ,应 当 进 行 严格 的 审查 ,并 按照 所 签订 的 保密 
契约 的 规定 来 执行 。 


7.3 安全 系统 管理 


要 保证 系统 的 可 靠 性 、 安 全 性 和 有 效 性 ,必须 加 强 对 系统 运行 的 安全 管理 。 运 行 中 系统 
安全 管理 包括 系统 评价 、 系 统 运行 安全 检查 和 系统 变更 管理 等 。 系 统 安全 管理 还 应 建立 系 
统 运行 文档 和 管理 制度 。 

1. 系统 运行 安全 管理 的 目标 

系统 运行 安全 管理 的 目标 是 确保 系统 运行 过 程 中 的 安全 ,主要 包括 可 靠 性 .可 用 性 、 保 
密 性 、 完 整 性 ` 不 可 抵赖 性 和 可 控 性 几 个 方面 。 


A) 信息 系统 安全 


1) 可 靠 性 

可 靠 性 是 系统 能 够 在 设 定 条 件 内 完成 规定 功能 的 基本 特征 ,是 系统 运行 安全 的 基础 。 
可 靠 性 规定 了 系统 功能 所 能 满足 任务 性 能 要 求 的 程度 ,也 是 系统 有 效 性 的 体现 。 可 靠 性 是 
系统 安全 审查 的 最 基本 的 目标 之 一 。 

系统 的 可 靠 性 分 为 两 类 , 即 软件 可 靠 性 与 硬件 可 靠 性 。 软 件 可 靠 性 是 指 软件 满足 用 户 
功能 需求 的 性 能 和 软件 在 规定 环境 下 的 故障 率 。 硬 件 可 靠 性 是 指 软件 运行 的 系统 整体 环境 
的 支持 和 性 能 度 。 提 高 系统 可 靠 性 ,保证 系统 安全 从 原理 上 看 就 是 要 加 强 变 化 管理 、 提 高 规 
划 质 量 减少 软件 错误 和 提高 系统 容错 能 力 。 

2) 可 用 性 

可 用 性 是 系统 可 被 授权 访问 实体 访问 并 按 任务 需求 使 用 的 特性 。 可 用 性 是 系统 面向 用 
户 的 安全 管理 特性 ,是 系统 向 用 户 提 供 服 务 的 基本 功能 。 系 统 的 可 用 性 具体 是 指 系统 无 故 
障 、 不 受 外 界 影 响 、 能 稳定 可 靠 地 运行 ,能 够 随时 满足 授权 实体 或 用 户 的 需求 , 它 包 含 了 实体 
环境 的 稳定 性 、 可 靠 性 、 抗 毁 性 和 抗 干扰 性 等 。 系 统 的 可 用 性 必须 保证 系统 的 可 恢复 性 ,以 
保障 系统 遭受 各 种 破坏 之 后 能 恢复 系统 运行 环境 ,保持 运行 功能 或 在 一 定 条 件 下 人 允许 系统 
降低 运行 功能 。 系 统 的 可 用 性 还 应 包括 识别 确认 身份 .访问 控制 .信息 量 控制 和 审计 跟踪 等 


3) 保密 性 
保密 性 是 系统 信息 不 被 泄露 给 非 授 权 用 户 、 实 体 或 任务 进程 ,或 供 其 利用 的 特性 。 在 系 
统 中 ,应 确保 只 有 授权 用 户 才 能 访问 系统 信息 ,必须 防止 信息 的 非法 和 非 正 常 泄露 。 一 般 情 


况 下 ,系统 的 保密 性 要 对 信息 进行 加 密 或 隐藏 保护 ,同时 还 要 做 到 防 信 侵 、 防 泄露 \ 防 自 改 和 
防 窃取 。 

4) 完整 性 

完整 性 是 系统 在 未 经 授权 的 情况 下 不 能 被 改变 的 特性 ,是 一 种 对 系统 可 信 性 及 一 致 性 
的 度量 。 完 整 性 是 一 种 面向 信息 的 安全 性 , 它 要 求 保持 信息 的 原始 性 , 即 信息 的 正确 生成 、 
存储 和 传输 。 完 整 性 的 目的 是 要 求 信息 不 能 受 各 种 原因 的 破坏 。 系 统 完整 性 服务 可 以 防范 
抵制 主动 攻击 ,使 系统 在 信息 传输 、 存 储 和 交换 过 程 中 保证 接收 者 收 到 的 信息 与 发 送 者 发 送 
的 信息 完全 一 致 ,也 就 是 确保 信息 的 真实 性 。 

5) 不 可 抵赖 性 

不 可 抵赖 性 也 称 作 不 可 否认 性 ,是 指 在 系统 的 信息 交换 中 确认 参与 者 的 真实 同一 性 , 即 
所 有 参与 者 都 不 能 否认 或 抵赖 曾经 完成 的 操作 和 任务 。 利 用 信息 源 监 控 证 据 可 以 防止 访问 
用 户 对 信息 访问 或 操作 进行 否认 。 

6) 可 控 性 

系统 可 控 性 是 通过 计算 机 系统 、 密 码 技术 和 安全 技术 及 完善 的 管理 措施 ,保证 系统 信息 
资源 在 传输 、 交 换 和 存储 过 程 中 完全 实现 安全 审计 目标 。 可 控 性 是 对 系统 的 运行 及 有 关内 
容 具 有 控制 能 力 的 特性 。 可 控 性 包括 对 系统 信息 访问 主体 的 权限 划分 和 更 换 , 以 及 对 信息 
交换 双方 已 发 生 的 操作 进行 确认 ,其 中 也 包括 对 系统 关键 的 控制 。 另 外 系统 的 可 控 性 必须 
包含 可 审查 性 , 即 对 系统 内 发 生 的 与 安全 有 关 的 事件 均 要 有 运行 记录 备查 。 

2. 系统 评价 


系统 评价 是 对 一 个 系统 进行 的 质量 检测 分 析 , 包 括 系统 对 用 户 和 业务 需求 的 相对 满意 
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程度 ,系统 开发 过 程 是 否 规 范 , 系 统 功 能 的 先进 性 、 可 靠 性 和 发 展 性 ,系统 的 性 能 、 成 本 ,效益 
综合 比 ,系统 运行 结果 的 有 效 性 、 可 行 性 和 完整 性 ,系统 对 计算 机 系统 和 信息 资源 的 利用 率 ， 
提供 信息 的 精密 程度 和 响应 速度 ,系统 的 实用 性 和 操作 性 ,系统 运行 安全 性 及 系统 内 数据 信 
息 的 安全 性 等 。 

系统 在 投入 运行 以 后 ,要 不 断 地 对 其 运行 状况 进行 分 析 评 估 , 并 将 结果 作为 系统 维护 、 
更 新 以 及 进一步 开发 的 依据 。 系 统 评价 指标 如 下 : 

1) 预订 的 系统 开发 目标 完成 情况 

。 对 照 系 统 目标 和 用 户 目标 检查 系统 建成 以 后 的 实际 情况 。 

。 系统 是 否 满足 科学 管理 和 安全 管理 的 要 求 。 

。 用 户 的 投入 是 否 限制 在 规定 范围 内 。 

。 开发 工程 是 否 规范 ,各 阶段 文档 是 否 齐备 。 

。 系统 的 维护 性 .扩展 性 和 移植 性 如 何 。 

。 系统 内 部 各 类 资源 的 利用 情况 。 

。 实现 功能 与 投入 成 本 比 是 否 在 用 户 规定 的 指标 范围 内 。 

2) 系统 运行 实用 性 评价 

。 系统 运行 的 稳定 性 和 可 靠 性 。 

。 系统 的 安全 保密 性 能 。 

。 用 户 对 系统 操作 ,管理 和 运行 状况 的 满意 程度 。 

。 系统 对 误 操 作 的 保护 和 故障 恢复 能 力 。 

。 系统 功能 的 实用 性 和 有 效 性 。 

。 系统 运行 结果 对 用 户 实际 工作 的 支持 程度 。 

。 系统 运行 结果 的 科学 性 和 适用 性 分 析 。 
系统 对 设备 的 影响 

。 设备 运 行 效率 。 

。 数据 传输 、 输 入 、 输 出 与 设备 处 理 的 速度 匹配 情况 。 

。 各 类 设备 的 负荷 情况 以 及 利用 率 。 

3. 系统 运行 安全 检查 

系统 运行 安全 检查 的 目的 主要 是 保证 系统 正常 运行 ,使 系统 始终 处 于 高 效 稳定 的 运行 
状态 ,获得 最 高 的 使 用 率 和 安全 性 。 

计算 机 硬件 系统 实体 及 实体 环境 是 一 切 系统 运行 的 基础 ,没有 这 个 基础 ,也 就 没有 系统 
的 应 用 ,也 就 谈 不 上 运行 的 安全 管理 。 计 算 机 硬件 系统 及 实体 环境 安全 检查 的 主要 任务 
如 下 : 

1) 计算 机 硬件 系统 及 实体 环境 检查 

。 检 查 计算 机 主机 设置 及 所 用 的 备份 设置 是 否 正常 。 

。 检查 工作 人 员 进 行 批 处 理 和 系统 日 常 维护 的 终端 设备 。 

。 检查 网 络 设备 设置 及 网 络 状态 。 

。 检查 进入 机 房 的 人 员 及 系统 操作 员 ,并 严格 区 分 有 关 人 员 可 以 进入 的 

。 检 查 机 房 环境 ,保证 机 房 温度 和 湿度 。 

。 检查 电源 系统 的 可 靠 性 ,检查 防火 、 防 水 警报 系统 的 可 靠 性 。 
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。 记录 计算 机 硬件 系统 及 实体 环境 状态 检查 情况 ,并 形成 日 志 报 告 。 
2) 系统 运行 安全 测试 
操作 系统 测试 : 确保 系统 安装 运行 所 要 求 的 指标 以 及 设置 参数 正常 有 效 。 
系统 安装 测试 : 检查 系统 是 否 安装 成 功 并 达到 运行 指标 要 求 。 
系统 单元 测试 : 利用 正常 数据 或 非 正常 数据 ,测试 系统 每 一 个 程序 输入 输出 是 否 成 
功 有 效 。 
系统 测试 : 对 所 有 程序 同时 进行 测试 ,以 确保 程序 之 间 相互 关系 的 正常 有 效 。 
容量 测试 : 保证 在 系统 所 要 求 的 常规 条 件 下 ,能 够 处 理 系 统 设 计 所 达到 的 最 大 
数量 。 
综合 测试 : 确保 程序 能 够 与 其 他 的 应 用 交互 作用 ,并 确保 数据 流 正确 有 效 , 不 会 造 
成 其 他 应 用 的 问题 。 
目标 测试 : 根据 系统 或 应 用 中 制定 的 执行 目标 及 其 他 目标 ,检查 系统 是 否 完全 满足 
用 户 需求 。 

4.， 系统 变更 管理 

信息 系统 和 其 他 复杂 系统 一 样 ,始终 处 于 一 种 不 断 变 化 的 状态 。 无 论 变 化 是 出 于 内 部 
因素 还 是 外 部 因素 ,系统 管理 员 都 要 花费 大 量 的 时 间 去 调查 .推断 和 排除 对 系统 的 影响 。 如 
何 迅速 解决 由 于 信息 系统 不 断 变化 而 产生 的 问题 ,这 就 是 变更 管理 涉及 的 内 容 。 

1) 运行 同步 跟踪 

管理 者 持 有 信息 系统 各 个 方面 的 准确 档案 ,将 有 助 于 排除 故障 ,从 而 更 有 效 地 管理 信息 
系统 。 为 了 维护 信息 系统 安全 运行 ,需要 跟踪 所 有 变化 和 升级 ,记录 系统 变化 前 后 的 状态 。 

(1) 标定 基准 线 。 

标记 系统 当前 状态 是 正确 维护 信息 系统 的 第 一 步 。 只 有 分 析 清 楚 系统 当前 以 及 过 去 的 
性 能 ,才能 预测 系统 将 来 的 状态 。 测 量 和 记录 系统 当前 状态 的 操作 称 为 标定 基准 线 。 基 准 
线 参 数 包括 主干 网 的 利用 率 、 系 统 设备 利用 率 、 每 日 每 小 时 登录 的 用 户 数 、 系 统 运行 的 协议 
数 、 错 误 的 统计 数 等 。 

每 个 信息 系统 都 要 求 标 定 它 的 基准 线 走势 ,测量 的 单元 依赖 于 哪个 对 系统 和 用 户 要 求 
最 匣 刻 的 功能 。 基 准 线 参数 允许 将 信息 系统 变化 引起 的 性 能 变化 和 过 去 的 系统 状态 进行 比 
较 , 标 定 基 准 线 是 准确 了 解 升级 和 改变 是 否 有 助 于 系统 的 唯一 方法 。 如 果 预 先 绘制 了 信息 
系统 区 段 利 用 率 的 趋势 图 ,就 可 以 帮助 预测 重大 系统 变化 所 产生 的 效果 ,例如 , 当 系 统 需要 
升级 时 , 它 可 以 提供 良好 的 分 析 和 预测 手段 。 

(2) 资产 管理 。 

评估 过 程 中 另 一 个 关键 部 分 是 检验 和 跟踪 信息 系统 中 的 软 硬 件 资产 ,这 一 过 程 被 称 为 
资产 管理 。 资 产 管理 的 第 一 步 是 将 信息 系统 中 的 每 一 个 节点 列 出 清单 。 系 统 软 硬件 的 变化 
情况 应 该 及 时 在 资产 管理 数据 库 中 进行 自动 或 手动 定期 更 新 。 另 外 ,资产 管理 还 应 提供 关 
于 某 些 类 型 软件 和 硬件 的 花费 和 利益 的 信息 。 

(3) 变化 管理 。 

对 于 信息 系统 管理 和 升级 过 程 中 的 问题 必须 用 管理 系统 进行 跟踪 。 就 像 资产 管理 系统 
一 样 , 变 化 管理 系统 要 实时 进行 ,另外 还 必须 提供 变化 时 间 、 变 化 的 原因 和 对 变化 的 具体 
描述 。 
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2) 软件 修订 
信息 系统 中 软件 的 改变 包括 软件 补充 ,软件 升级 和 软件 修订 。 尽 管 对 每 种 类 型 的 软件 
的 改变 不 同 ,但 是 通常 采用 的 步骤 如 下 : 


考虑 改变 (不 论 是 补充 .升级 还 是 修订 ) 是 否 必要 。 

研究 改变 的 目的 和 对 系统 可 能 产生 的 影响 。 

考虑 改变 是 适合 于 一 部 分 用 户 还 是 所 有 用 户 ,应 该 集中 执行 还 是 逐个 执行 。 
如 果 打算 实施 改变 ,应 告诉 管理 人 员 和 用 户 ,制定 在 非 工 作 时间 的 改变 进度 。 
在 做 任何 改变 之 前 都 要 备份 当前 的 文件 系统 和 软件 。 

防止 用 户 登 录 正在 被 改动 的 系统 或 部 分 系统 。 

在 安装 、 补 充 和 修订 时 保持 升级 指导 并 按 此 进行 。 

在 改变 之 后 测试 整个 系统 ,留意 任何 修改 的 非 预 想 和 不 满意 的 产物 。 

如 果 修 改 成 功 ,就 开放 该 系统 的 登录 功能 ,如 果 没 有 成 功 ,就 恢复 旧版 本 。 
当 修 改 成 功 后 告知 管理 人 员 和 用 户 。 

如 果 必 须 恢复 老 版 本 ,说 明 原 因 。 

在 变化 管理 系统 中 记录 修改 。 


3) 硬件 和 物理 设备 的 变更 

硬件 和 物理 设备 的 改变 是 实现 系统 升级 的 一 种 重要 手段 。 为 信息 系统 增加 功能 ,最 简 
单 ` 最 重要 的 硬件 改变 是 添加 更 多 的 设备 ,如 在 主干 网 上 增加 交换 机 或 网 络 打 印 机 等 。 在 考 
虑 硬件 实施 升级 时 ,下 面 的 步骤 可 以 作为 指导 


5, 


考虑 变化 是 否 需要 。 

研究 变化 对 其 他 设备 .功能 和 用 户 的 潜在 影响 。 

如 果 打 算 进 行 改变 ,就 通知 系统 管理 人 员 和 用 户 ,并 安排 在 关机 时 间 进 行 。 
备份 当前 硬件 设置 。 

阻止 用 户 访问 正在 改变 的 系统 。 

在 改变 完成 后 彻底 测试 硬件 。 

如 果 安 装 成 功 ,就 打开 系统 登录 功能 ,如 果 未 成 功 ,可 能 的 话 隔离 该 设备 或 重新 插 人 
旧 设备 。 

当 改 变 成 功 时 通知 系统 管理 人 员 和 用 户 , 如 果 不 成 功 ,解释 原因 。 

在 变更 系统 中 记录 修改 。 

建立 系统 运行 文档 和 管理 制度 


1) 建立 系统 设置 参数 文件 及 运行 日 志 

系统 设置 参数 文件 是 记录 备案 系统 运行 时 所 设 定 的 运行 参数 文件 ,包括 系统 启动 文件 、 
参数 设置 文件 ,检查 记录 审计 文件 和 口令 文件 等 。 系 统 设置 参数 文件 记录 备案 是 将 系统 初 
始 状态 、 当 前 状态 和 各 类 程序 运行 参数 设置 进行 安全 备份 ,用 于 今后 的 系统 运行 维护 、 系 统 
恢复 和 系统 移植 ,也 可 用 于 对 系统 运行 进行 安全 审查 。 

系统 运行 日 志 记录 系统 运行 时 产生 的 特定 事件 。 运 行 日 志 是 确认 和 追踪 与 系统 的 数据 
处 理 、 任 务 进 程 及 资源 利用 有 关 的 事件 的 基础 , 它 能 提供 系统 权限 检查 中 的 问题 ,系统 故障 
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的 发 生 与 恢复 以 及 系统 监测 等 信息 ,同时 也 用 于 检查 系统 的 使 用 情况 。 运 行 日 志 的 设置 将 
减少 系统 运行 错误 和 非法 访问 、 窃 取信 息 的 机 会 。 运 行 日 志 应 记录 哪些 项 目 和 记载 的 程度 ， 
要 从 系统 的 安全 控制 和 用 户 需求 这 两 方面 来 考虑 。 运 行 日 志 记 录 功 能 应 该 在 系统 设计 时 确 
定 ,一 般 情 况 下 需要 以 下 两 种 类 型 。 

。 事件 信息 : 包括 数据 的 输入 和 输出 、 系 统 文件 的 更 新 和 删除 .系统 的 启动 和 关闭 、 系 

统 故障 的 发 生 与 排除 以 及 用 户 的 非 正常 操作 等 。 

。 相关 要 素 : 如 使 用 系统 的 人 、 设 备 .软件 和 数据 等 。 

运行 日 志 记载 的 信息 是 系统 管理 员 对 访问 系统 的 人 进行 安全 管理 控制 的 重要 根据 ,从 
安全 管理 角度 考虑 ,此 类 信息 在 设计 上 必须 要 有 法 律 依 据 , 同 时 要 求 设 计 安 全 完善 ,不 能 因 
偶发 事件 或 有 意 行 为 而 破坏 运行 日 志 。 

2) 建立 科学 的 系统 运行 管理 制度 

为 了 保证 系统 安全 运行 ,应 建立 科学 的 管理 制度 。 管 理 制 度 包 括 各 种 岗位 制度 ,如 系统 
分 析 员 的 安全 职责 、 系 统管 理 员 的 安全 职责 及 数据 信息 管理 员 的 安全 职责 等 ; 操作 规范 制 
度 , 如 系统 启动 和 关闭 操作 步骤 及 要 求 .注册 登录 操作 步骤 及 要 求 等 ; 系统 维护 及 数据 信息 
维护 制度 ,如 软件 升级 、 病 毒 防治 和 数据 备份 等 制度 ; 另外 还 包括 其 他 与 系统 安全 运行 相关 
的 制度 ,如 机 房 卫 生 、 安 全 保卫 制度 ,设备 维护 保养 制度 等 。 


7.4 安全 事件 管理 


NIST 在 “Establishing a Computer Security Response Capability” 一 文中 把 安全 事件 定 
义 为 : 任何 威胁 到 数据 的 机 密 性 、 完 整 性 或 系统 的 完整 性 和 可 获得 性 的 敌对 行为 。 概 括 来 
说 ,安全 事件 就 是 指 影响 计算 机 系统 和 网 络 安全 运行 的 一 些 不 正当 的 行为 。 这 些 行为 包括 
在 计算 机 和 网 络 上 发 生 的 可 以 观察 到 的 任何 现象 ,如 对 系统 的 破坏 ,非法 获取 或 自 改 数据 等 
行为 。 对 安全 事件 进行 妥善 的 管理 是 信息 系统 安全 的 必然 要 求 , 具 有 很 大 的 应 用 价值 。 

随 着 信息 技术 的 迅速 发 展 和 信息 系统 的 普及 ,信息 系统 安全 管理 逐渐 成 为 一 个 重点 。 
其 中 ,安全 事件 管理 是 信息 系统 安全 管理 的 一 个 重要 分 支 。 复 杂 的 信息 系统 由 种 类 繁多 的 
安全 设备 、 网 络 设备 、 主 机 系统 及 其 应 用 等 组 成 ,每 天 产生 大 量 安全 事件 ,如 何 对 之 进行 统一 
管理 ,通过 对 它们 分 析 及 时 了 解 系统 状况 ,发现 潜在 威胁 和 攻击 ,并 在 第 一 时 间 对 异常 事件 


做 出 快速 响应 ,是 信息 系统 管理 亟待 解决 的 问题 ,也 是 提高 系统 整体 安全 性 能 的 关键 。 为 了 
妥善 解决 以 上 问题 ,保障 信息 系统 的 正常 运转 ,需要 部 署 大 量 的 安全 设备 。 当 攻击 行为 发 生 


时 ,安全 设备 会 在 短 时 间 内 产生 大 量 的 安全 告警 事件 ,管理 员 很 难 在 有 限时 间 内 从 告警 事件 
中 获得 有 价值 的 信息 。 安 全 事件 管理 可 以 统一 收集 和 管理 这 些 安全 事件 ,并 将 安全 告警 事 
件 、 网 络 设备 和 主机 日 志 以 及 通过 漏洞 扫描 获得 的 系统 漏洞 信息 进行 关联 分 析 , 能 快速 地 发 
现 网 络 攻 击 行为 可 能 带 来 的 危害 ,从 而 提高 信息 系统 的 安全 性 和 可 靠 性 。 

安全 事件 管理 作为 一 个 新 兴 的 面向 应 用 、 交 又 性 的 研究 领域 ,综合 了 入 侵 检测 系统 、 防 
火 墙 等 安全 设备 发 来 的 事件 ,通过 对 其 进行 统一 化 .关联 分 析 , 从 而 做 到 对 安全 事故 的 自动 
识别 和 自动 响应 。 安 全 事件 管理 具体 的 功能 主要 是 安全 事件 的 收集 、 分 类 标准 化 .过滤 . 归 
并 、 关 联 分 析 和 响应 管理 等 。 
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7.4.1 安全 事件 生命 周期 


传统 上 ,计算 机 和 信息 的 安全 注意 力主 要 集中 在 保密 性 、 完 整 性 和 可 用 性 ( 即 CIA) 上 。 
过 去 发 生 的 很 多 事件 都 很 好 地 符合 了 CIA 模型 。 事 件 大 致 可 分 为 6 类 : 垃圾 邮件 事件 .入 
侵 事 件 .DOS 事件 ,病毒 和 蠕虫 事件 ,扫描 事件 和 其 他 类 型 事件 。 对 于 垃圾 邮件 事件 来 说 主 
要 涉及 可 用 性 ; 对 于 入 侵 事件 来 说 涉及 CIA 模型 的 3 个 方面 ; 对 于 DOS 事件 来 说 涉及 完 
整 性 和 可 用 性 ; 病毒 和 蠕虫 事件 也 涉及 CIA 模型 的 3 个 方面 ; 对 于 扫描 事件 则 稍微 涉及 
CIA 模型 的 3 个 方面 。 

安全 事件 可 以 分 为 受理 .启动 .分 析 、 处 理 、 跟 踪 、 关 闭 6 个 状态 ,各 状态 之 间 的 关系 如 
图 7.1 所 示 。 


电话 


Web 


E-mail 


IDS 


7.1 安全 事件 的 状态 及 状态 转换 


系统 的 处 理 流程 一 般 要 经 过 事件 报告 .事件 受理 事件 启动 .事件 分 析 、 事 件 处 理事 件 
跟踪 、 事 件 关闭 这 几 个 过 程 。 如 图 7. 1 所 示 , 第 一 步 收 到 来 自 电话 、Web、 电 子 邮 件 和 监测 系 
统 的 事件 报告 ; 第 三 步 事 件 受理 ,并 对 事件 进行 分 类 、 描 述 和 判断 其 影响 程度 ; 第 三 步 启 动 
事件 处 理 流程 ; 第 四 步 利 用 各 种 已 有 的 工具 对 事件 进行 分 析 , 得 出 分 析 结 果 ; 第 五 步 事 件 
处 理 , 根 据 事件 的 性 质 和 类 型 做 出 相应 的 处 理 ; 第 六 步 对 于 需要 跟踪 的 事件 ,建立 一 定 的 跟 
踪 机 制 , 对 事件 进一步 观察 ; 第 七 步 关 闭 事件 .关闭 事件 的 条 件 有 3 个 : 

(1) 投诉 方 认 为 事件 已 经 结束 不 需要 再 进行 处 理 。 

(2) CCERT 小 组 成 员 认 为 事件 已 经 圆满 处 理 。 

(3) 超时 ,事件 长 期 没有 反馈 信息 ,超时 自动 关闭 。 

安全 事件 响应 过 程 从 启动 准备 工作 到 事件 后 分 析 可 以 分 为 几 个 阶段 。 启 动 阶段 包括 建 
立 和 培训 安全 事件 响应 小 组 并 获得 必要 的 工具 和 资源 。 在 准备 工作 中 ,组 织 也 要 以 风险 评 
估 的 结果 为 基础 ,通过 选择 和 实施 一 套 控 制 措施 来 限制 安全 事件 的 发 生 次 数 。 但 是 即使 在 
实施 了 安全 控制 措施 后 ,残余 风险 依然 不 可 避免 ,而 且 没 有 哪 种 控制 措施 是 绝对 安全 的 ,所 
以 对 破坏 系统 安全 的 行为 要 进行 检测 ,一 旦 安全 事件 发 生 要 发 出 报警 。 针 对 安全 事件 的 严 
重 程 度 ,采取 必要 的 行动 ,通过 对 安全 事件 进行 限制 并 最 终 从 中 恢复 来 减缓 安全 事件 所 造成 
的 影响 。 在 安全 事件 得 到 适当 处 理 后 ,要 提交 一 份 报告 ,详细 描述 安全 事件 的 起 因 、 造 成 的 
损失 以 及 以 后 对 这 类 安全 事件 所 应 采取 的 防范 措施 和 步骤 。 图 7. 2 描述 了 安全 事件 响应 的 
生命 周期 。 
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[准备 | 一 -| 检测 和 分 析 |-=[ 限 制 、 消 除 和 恢复 | 一 [事件 后 活动 ] 


图 7.2 安全 事件 响应 的 生命 周期 


1. 准备 阶段 

安全 事件 响应 方法 通常 都 要 强调 准备 工作 ,不 仅 要 建立 安全 事件 响应 能 力 ,使 组 织 能 够 
从 容 地 响应 安全 事件 ,而 且 要 通过 确保 系统 .网 络 及 应 用 足够 安全 来 预防 安全 事件 。 下 面 将 
针对 安全 事件 处 理 及 预防 的 准备 工作 提供 指导 。 

1) 准备 处 理 安全 事件 

安全 事件 处 理 过 程 中 需要 一 些 有 价值 的 工具 和 资源 的 协助 ,对 安全 事件 分 析 有 用 的 资 
源 包括 : 

(1) 安全 事件 处 理 人 员 通 信 与 设施 。 如 安全 事件 响应 小 组 的 联系 信息 、 安 全 事件 报告 
机 制 、 安 全 存储 设施 等 。 

(2) 安全 事件 分 析 硬 件 和 软件 。 如 计算 机 取证 工作 站 和 备份 资源 、 备 用 工作 站 、 服 务 器 
及 网 络 设备 .数据 包 监 听 协 议 分 析 器 .计算机 取证 软件 .证据 搜索 辅助 设备 等 。 

(3) 安全 事件 分 析 资 源 。 如 端口 列表 ,包括 常用 端口 和 特洛伊 木马 端口 。 文 档 包 括 操 
作 系 统 、 应 用 ,协议 .入 侵 检测 特征 码 ,病毒 特征 码 的 文档 。 网 络 拓扑 图 和 关键 资产 清单 , 比 
如 Web 服务 器 .邮件 服务 器 .FTP 服务 器 。 

(4) 工具 和 资源 。 如 预期 网 络 ,系统 和 应 用 的 行为 的 基线 。 关 键 文件 的 加 密 哈 希 值 , 可 
以 提高 安全 事件 的 分 析 、 验 证 和 消除 速度 。 

(5) 安全 事件 减缓 工具 。 如 介质 ,包括 操作 系统 引导 盘 和 CD、 操作 系统 介质 及 应 用 介 
质 ,还 有 安全 补丁 以 及 备份 映像 等 。 

2) 预防 安全 事件 

将 安全 事件 发 生 次 数 保持 在 一 个 合理 的 数量 之 下 是 非常 重要 的 。 如 果 安 全 控制 措施 不 
充分 ,就 可 能 发 生 大 量 安全 事件 ,超出 安全 事件 响应 小 组 的 能 力 ,这 将 使 安全 事件 响应 迟缓 
和 响应 不 完全 ,从 而 对 组 织造 成 更 大 的 负面 业务 影响 。 一 个 改善 组 织 的 安全 生态 并 预防 安 
全 事件 的 合理 方法 是 定期 对 系统 和 应 用 进行 风险 评估 。 这 些 评 估 应 该 确定 威胁 和 弱点 所 带 
来 的 风险 ,并 将 风险 进行 优先 级 排序 。 风 险 评 估 还 可 以 用 于 确定 关键 资源 ,并 进行 重点 监视 
和 响应 。 

下 面 针 对 网 络 、 系 统 和 应 用 方面 的 安全 管理 策略 进行 简要 介绍 : 

(1) 补丁 管理 。 

许多 信息 安全 专家 认为 ,大 部 分 安全 事件 的 发 生 是 由 于 系统 和 应 用 中 数量 相对 较 少 的 
弱点 被 利用 所 致 。 大 型 组 织 应 该 落实 补丁 管理 项 目 来 协助 系统 管理 员 确 定 、 获 得 .测试 并 采 
用 补丁 程序 。 

(2) 主机 安全 。 

所 有 主机 都 应 该 被 适当 加 固 。 除 了 保证 为 主机 打上 正确 的 补丁 外 ,还 应 该 对 主机 进行 
配置 ,只 允许 为 适当 的 用 户 和 主机 开放 尽 可 能 少 的 服务 , 即 最 小 特权 原则 。 对 于 那些 不 安全 
的 默认 配置 进行 重 置 。 当 用 户 试图 访问 受 保 护 资源 时 ,要 显示 一 个 警告 横幅 。 主 机 应 该 打 
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开 审 计 功能 ,并 记录 与 安全 相关 的 重大 事件 。 很 多 组 织 使 用 操作 系统 和 应 用 配置 指南 来 帮 
助 管理 员 一 致 且 有 效 地 保护 主机 。 
(3) 网 络 安全 。 
对 网 络 边界 进行 配置 ,只 有 功能 所 必需 的 活动 才 被 允许 。 这 包括 保护 所 有 的 连接 点 , 比 
如 调制 解 调 器 、VPN 及 到 其 他 组 织 的 专线 连接 。 
(4) 恶意 代码 预防 。 
应 该 在 整个 组 织 内 采用 能 检测 和 阻止 恶意 代码 (如 病毒 . 晴 虫 和 特洛伊 木马 ) 的 软件 。 
应 该 在 主机 级 (如 服务 器 和 工作 站 操作 系统 ) .应 用 服务 器 级 (如 邮件 服务 器 .Web 代理 ) 和 
应 用 客户 级 (如 邮件 客户 端 和 即时 通信 客户 端 ) 落 实 恶意 代码 保护 。 
(5) 用 户 意 识 和 培训 。 
用 户 应 该 了 解 正常 使 用 网 络 、 系 统 和 应 用 的 政策 和 流程 ,从 过 去 的 安全 事件 中 汲取 经 验 
教训 ,并 与 用 户 共享 ,从 而 提高 用 户 的 安全 意识 ,减少 安全 事件 发 生 的 频率 ,尤其 是 恶意 代码 
和 违反 安全 政策 的 事件 。 对 信息 系统 管理 人 员 进 行 培训 ,严格 按照 安全 标准 维护 网 络 、 系 统 
和 应 用 。 
2. 检测 和 分 析 
1) 安全 事件 分 类 
安全 事件 的 发 生 方式 多 种 多 样 , 所 以 想 要 制定 一 个 具体 的 综合 流程 来 处 理 每 一 件 安 全 
事件 是 不 切实 际 的 。 组 织 能 做 的 最 好 程度 就 是 从 总 体 上 准备 处 理 任 何 类 型 的 安全 事件 ,对 
常见 安全 事件 类 型 的 处 理 则 更 具体 一 些 。 下 面 所 列 出 的 安全 事件 分 类 不 是 包罗 一 切 的 ,也 
不 打算 为 安全 事件 给 出 明确 的 分 类 ,相反 , 它 只 给 出 了 一 个 基本 指南 来 指导 如 何 根据 其 主要 
分 类 来 处 理 安全 事件 。 
(1) 拒绝 服务 攻击 : 通过 消耗 资源 的 方式 来 阻止 和 破坏 网 络 与 系统 的 正常 使 用 。 
(2) 恶意 代码 : 能 够 感染 主机 的 病毒 .蠕虫 .特洛伊 木马 或 其 他 基于 代码 的 恶意 实体 。 
(3) 非 授 权 访 问 : 在 未 经 系统 允许 的 情况 下 通过 逻辑 的 或 物理 的 方式 访问 网 络 、 系 统 、 
应 用 ,数据 或 其 他 资源 。 
(4) 使 用 不 当 : 用 户 违反 可 接受 计算 资源 使 用 政策 。 
(5) 复合 型 安全 事件 : 包含 两 种 或 两 种 以 上 的 安全 事件 。 
2) 事件 征兆 
安全 事件 响应 过 程 中 最 困难 的 一 步 是 准确 检测 并 评估 可 能 的 安全 事件 , 即 确定 一 个 安 
全 事件 是 否 会 发 生 ,如 果 发 生 , 那 它 属 于 什么 类 型 .影响 程度 如 何以 及 问题 的 范围 。 安 全 事 
件 的 检测 的 影响 因素 包括 : 
。 安全 事件 的 检测 方法 多 种 多 样 ,不 同 的 检测 方法 可 以 获得 不 同 程度 的 细节 和 真实 
性 。 其 中 ,自动 化 检测 方法 包括 基于 网 络 的 和 基于 主机 的 和 人 侵 检测 系统 、 反 病毒 软 
件 以 及 日 志 分 析 工 具 等 。 另 外 ,也 可 以 通过 人 工 方法 来 检测 安全 事件 ,比如 用 户 报 
告 的 问题 。 有 些 安全 事件 有 隐 含 的 征兆 ,很 容易 被 检测 到 ,而 有 些 安全 事件 ,如 果 没 
有 自动 工具 几乎 无 法 检测 到 。 

。 安全 事件 的 潜在 征兆 数量 一 般 都 很 高 ,比如 每 天 入侵 检测 系统 会 报告 成 千 上 万 条 告 
警 信息 。 

。 对 安全 事件 的 相关 数据 进行 正确 而 有 效 的 分 析 往 往 需要 高 水 平 的 专业 知识 和 丰富 
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的 实践 经 验 。 多 数组 织 内 ,具备 这 些 条 件 的 人 很 少 。 

安全 事件 的 征兆 可 以 分 为 两 类 : 迹象 (Indication) 和 前 兆 (Precursor)。 前 兆 是 指 未 来 
可 能 发 生 的 安全 事件 的 征兆 ,而 迹象 是 指 已 经 发 生 或 正在 发 生 的 安全 事件 的 征兆 。 迹 象 的 
种 类 太 多 ,以 至 于 无 法 一 一 介绍 ,以 下 是 其 中 一 些 例子 : 

。 某 台 FTP 服务 器 发 生 缓冲 区 溢出 时 网 络 入 侵 检测 传感器 报警 。 

。 反 病 毒 软件 发 现 某 台 主 机 被 蠕虫 感染 时 发 出 告警 。 

。 Web 服务 器 崩溃 。 

。 用 户 抱 怨 网 络 速度 太 慢 。 

。 系统 管理 员 发 现 文件 名 有 不 寻常 字符 。 

。 用 户 向 求助 台 报 告 收 到 恺 吓 邮 件 。 

某 主 机 记录 其 日 志 中 的 审计 配置 发 生变 化 。 
某 应 用 程序 的 日 志 记 载 了 来 自 未 知 远程 系统 的 多 次 失败 登录 尝试 。 

。 邮件 管理 员 发 现 有 大 量 可 疑 内 容 邮 件 流入 。 

。 网 络 管理 员 发 现 网 络 流量 发 生 不 寻常 变化 。 

不 要 认为 安全 事件 检测 只 是 一 种 反应 式 的 ,有 时 候 组 织 也 可 能 在 安全 事件 发 生 之 前 就 
检测 到 有 关 行 为 。 比 如 网 络 入侵 检测 传感器 发 现 针 对 一 组 主机 的 不 寻常 端口 扫描 活动 ,这 
很 可 能 就 是 对 某 台 主机 发 起 拒绝 服务 攻击 的 前 兆 。 以 下 是 其 他 一 些 有 前 兆 的 例子 : 

。 Web 服务 器 日 志 显 示 , 有 人 使 用 Web 服务 器 弱点 扫描 工具 。 

。 公开 针对 组 织 邮件 服务 器 弱点 的 一 种 新 黑客 攻击 。 

。 某 黑客 组 织 声称 要 攻击 该 组 织 。 

不 是 所 有 的 攻击 都 可 以 通过 前 兆 检测 到 ,有 的 攻击 没有 前 兆 , 有 的 攻击 的 前 兆 很 难 被 组 
织 发 现 。 如 果 在 攻击 之 前 发 现 前 兆 , 那 么 该 组 织 还 有 机 会 通过 采用 自动 或 人 工 方法 来 改变 
其 安全 状态 来 预防 安全 事件 发 生 。 但 是 大 多 数 情况 下 ,组 织 可 能 要 在 安全 事件 发 生 以 后 才 
确定 采取 行动 ,以 求 尽快 减缓 风险 。 很 少 情况 下 ,组 织 可 以 密切 监视 某 些 活动 ,可 能 是 针对 
特定 主机 的 连接 企图 或 某 些 网 络 流量 类 型 。 

3) 前 兆 和 迹象 的 来 源 

可 以 通过 许多 不 同 的 来 源 来 检测 前 兆 和 迹象 ,最 常用 的 有 计算 机 安全 软件 的 告警 日 
志 、 公 共 渠 道 获取 的 信息 及 人 。 

(1) 计算 机 软件 告警 : 包括 基于 网 络 和 主机 的 人 侵 检测 系统 、 反 病毒 软件 .文件 完整 性 
检测 软件 .第 三 方 监视 服务 等 。 

(2) 日 志 : 操作 系统 .服务 和 应 用 软件 的 日 志 、 网 络 设备 日 志 、 蜜 缸 日 志 。 

(3) 公共 可 获得 信息 : 新 弱点 及 利用 信息 、 其 他 组 织 的 安全 事件 信息 等 。 

(4) 人 : 包括 组 织 内 部 人 员 及 其 他 组 织 人 员 等 。 

4) 安全 事件 分 析 

如 果 能 够 保证 上 报 来 的 每 一 个 前 兆 和 迹象 的 信息 都 是 准确 的 ,那么 安全 事件 的 检测 和 
分 析 将 是 非常 容易 的 事 。 但 不 幸 的 是 ,目前 这 是 不 可 能 实现 的 。 例 如 , 当 用 户 抱怨 某 台 服务 
器 无 法 提供 服务 ,这 种 情况 通常 就 是 不 准确 的 ,还 有 ,众所周知 ,目前 的 入 侵 检测 系统 都 会 产 
生 大 量 误 报 , 即 不 正确 的 迹象 。 这 些 例子 说 明了 造成 安全 事件 的 检测 和 分 析 如 此 困难 的 
原因 。 
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对 安全 事件 进行 分 析 和 验证 是 很 困难 的 。 以 下 将 提供 一 些 建议 ,使 安全 事件 的 分 析 更 
简便 有 效 : 

。 描述 网 络 和 系统 的 特征 。 

。 了 解 正常 行为 。 

。 使 用 集中 式 日 志 并 建立 日 志保 存 政 策 。 

。 开展 安全 事件 关联 分 析 。 

。 维护 和 使 用 信息 知识 库 。 

。 利用 因特网 搜索 引擎 进行 查找 。 

。 使 用 数据 包 监 听 工 具 来 获取 更 多 信息 。 

。 考虑 数据 简化 。 
经 验 是 不 可 代替 的 。 

。 为 没有 经 验 的 成 员 编制 一 个 诊断 矩阵 。 

。 向 其 他 人 寻求 帮助 。 

5) 安全 事件 记录 

一 旦 安全 事件 响应 小 组 怀疑 正在 发 生 或 已 经 发 生 了 安全 事件 ,要 立即 记录 有 关 该 安全 
事件 的 全 部 事实 。 日 志 秒 是 一 个 简单 有 效 的 介质 方法 ,但 目前 个 人 数字 助理 (PDA)、 笔 记 
本 计算 机 、 录 音 机 以 及 数码 相机 也 可 以 用 于 这 种 目的 。 把 系统 事件 、 电 话 交 谈 记 录 下 来 并 观 
察 其 中 变化 可 以 使 问题 处 理 更 有 效 .更 系统 并 且 更 少 犯 错误 。 从 安全 事件 被 发 现 到 处 理 完 
毕 过 程 中 所 采取 的 每 一 个 步骤 都 应 该 加 以 记录 ,并 注 明 时 间 。 与 安全 事件 有 关 的 每 份 文档 
都 应 该 让 安全 事件 处 理 人 员 注 明日 期 并 签字 。 这 类 性 质 的 信息 也 可 以 作为 法 律 诉讼 相关 证 
据 。 如 果 有 可 能 ,事件 处 理应 该 至 少 保持 两 人 一 组 的 工作 方式 : 一 个 人 开展 技术 工作 的 同 
时 , 另 一 个 人 进行 日 志 记 录 。 

安全 事件 响应 小 组 应 该 将 安全 事件 状态 及 其 他 相关 信息 一 起 加 以 保存 记录 。 为 实现 这 
一 目的 ,有 必要 使 用 一 个 应 用 或 数据 库 系 统 , 以 保证 能 够 及 时 地 处 理 和 解决 安全 事件 。 比 
如 ,安全 事件 处 理 人 员 可 能 会 接 到 与 前 一 天 所 解决 的 安全 事件 相关 的 紧急 电话 ,而 当时 的 安 
全 事件 处 理 人 员 不 在 现场 ,通过 访问 安全 事件 数据 库 , 事 件 处 理 人 员 可 以 快速 了 解 安 全 
事件 。 

安全 事件 处 理 小 组 还 应 该 小 心 保护 与 安全 事件 相关 的 数据 ,因为 这 些 数据 中 经 常会 包 
括 一 些 敏 感 信息 ,比如 被 利用 弱点 方面 的 数据 ,最 近 的 安全 违反 活动 及 那些 可 能 采取 不 适当 
行动 的 用 户 。 要 减少 敏感 信息 被 不 适当 外 泄 的 风险 ,小 组 应 该 保证 严格 限制 对 安全 事件 数 
据 的 管理 ,比如 只 有 经 过 授权 的 人 员 才 能 访问 安全 事件 数据 库 。 与 安全 事件 相关 的 电子 邮 
件 以 及 安全 事件 报告 文档 应 该 加 密 ,保证 只 有 发 送 方 和 目标 收 件 人 才能 读 懂 。 

6) 安全 事件 的 优先 排序 

对 安全 事件 处 理 进行 优先 排序 可 能 是 安全 事件 处 理 过 程 中 最 关键 的 一 个 环节 。 由 于 资 
源 的 限制 ,安全 事件 不 应 该 按照 先 来 先 处 理 的 原则 进行 处 理 ,而 应 该 按照 以 下 两 个 因素 来 对 
安全 事件 的 处 理 进行 优先 排序 。 

。 安全 事件 当前 和 潜在 的 技术 影响 : 安全 事件 处 理 人 员 不 仅 应 该 考虑 安全 事件 目前 

的 负面 技术 影响 (比如 对 数据 的 未 经 授权 的 用 户 级 访问 ) ,而 且 还 要 考虑 在 安全 事件 
没有 被 立即 限制 时 , 它 未 来 的 可 能 技术 影响 。 比 如 , 某 个 蠕虫 病毒 正在 组 织 的 网 络 
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中 传播 , 它 当前 的 影响 还 非常 小 ,但 是 在 几 个 小 时 内 蠕虫 流量 可 能 导致 网 络 资源 被 
耗 尽 。 

受 影响 资源 的 关键 程度 : 受 安全 事件 影响 的 资源 (如 防火 墙 、Web 服务 器 .因特网 连 
接 、 用 户 工作 站 以 及 应 用 ) 对 组 织 的 关键 程度 各 不 相同 。 资 源 的 关键 程度 取决 于 数 
据 或 服务 、 用 户 .与 其 他 资源 的 信任 关系 和 相互 依赖 程度 以 及 可 视 性 (比如 一 个 公众 
Web 服务 器 相对 于 一 个 内 部 部 门 的 Web 服务 器 ) 。 许 多 组 织 已 经 通过 业务 连续 性 
计划 工作 或 他 们 的 服务 等 级 协定 确定 了 资源 的 关键 性 。 只 要 可 能 ,安全 事件 响应 小 
组 就 应 该 获取 并 重用 有 关 资 源 关键 性 方面 的 有 效 数 据 。 

7) 安全 事件 的 通知 

分 析 安 全 事件 ,并 对 其 进行 优先 排序 以 后 ,安全 事件 响应 小 组 需要 通知 组 织 内 外 部 的 适 
当 人 员 。 及 时 的 报告 和 通知 可 以 使 相关 人 员 发 挥 其 作用 。 在 目前 信息 安全 威胁 的 数量 巨 
大 、 情 况 复杂 的 情况 下 ,合作 处 理 安全 事件 是 最 好 的 方法 。 安 全 事件 响应 政策 应 该 包括 安全 
事件 报告 规定 ,至少 要 规定 报告 对 象 .报告 时 间 以 及 报告 内 容 等 。 

3. 限制 .消除 和 恢复 

1) 选择 限制 策略 

对 安全 事件 进行 检测 并 分 析 , 并 在 事件 超出 控制 或 造成 更 大 的 破坏 之 前 加 以 限制 。 对 
大 多 数 的 安全 事件 都 要 加 以 限制 ,限制 的 一 个 必要 环节 是 做 出 决定 (比如 关机 、 从 有 线 或 无 
线 网 络 中 断 接 、 断 开 Modem 线 、 禁 用 某 些 功能 等 )。 如 果 已 经 预先 确定 了 安全 事件 限制 策 
略 和 流程 ,做 出 决定 就 容易 得 多 ,组 织 应 该 在 安全 事件 处 理 中 定义 什么 样 的 风险 是 可 接受 
的 ,并 据 此 制定 策略 。 

限制 策略 随 着 安全 事件 类 型 的 不 同 而 不 同 。 比 如 ,针对 邮件 病毒 感染 事件 的 限制 策略 
和 针对 基于 网 络 的 分 布 式 拒绝 服务 攻击 的 限制 策略 就 很 不 一 样 。 强 烈 建议 组 织 要 针对 各 个 
主要 安全 事件 类 型 制定 单独 的 限制 策略 。 相 关 标 准 要 有 明确 记录 ,以 便 快速 有 效 地 做 出 决 
定 。 限 制 策 略 的 选择 标准 有 : 

。 资源 的 潜在 破坏 和 失窃 。 

。 证 据 的 保存 需求 。 

。 服务 的 可 用 性 (比如 网 络 连接 .对 外 提供 的 服务 ) 。 

。 执行 策略 所 需 的 资源 和 时 间 。 

。 策略 的 有 效 性 (如 部 分 限制 了 安全 事件 .完全 限制 了 安全 事件 ) 。 

。 解决 方案 的 持续 时 间 ( 比 如 紧急 工作 区 需要 在 4 小 时 内 拆除 .临时 工作 区 需要 在 2 

周 内 拆除 )。 

某 些 情况 下 ,为 了 收集 更 多 的 证 据 , 有 些 组 织 可 能 会 推迟 对 安全 事件 进行 限制 以 便 对 攻 
击 行为 加 以 监视 。 安 全 事件 响应 小 组 必须 先 同 法 律 部 门 协商 ,以 确定 这 种 推 延 是 否 可 行 。 
如 果 组 织 在 察觉 到 系统 被 破坏 后 ,还 允许 这 种 破坏 行为 继续 进行 ,那么 它 要 对 攻击 者 利用 已 
被 破坏 的 系统 来 攻击 其 他 系统 的 后 果 承 担 责任 。 这 种 推 延 限制 策略 是 非常 危险 的 ,因为 攻 
击 者 可 能 提高 未 经 授权 的 访问 级 别 或 很 快 去 破坏 其 他 系统 。 只 有 经 验 丰富 的 安全 事件 响应 
小 组 在 能 够 监视 所 有 的 攻击 行为 并 能 迅速 切断 攻击 者 的 连接 的 前 提 下 才能 使 用 这 一 策略 。 
即便 如 此 , 推 延 限制 策略 所 带 来 的 好 处 往往 不 及 它 所 带 来 的 风险 。 

与 限制 相关 的 另 一 个 潜在 问题 是 有 些 攻 击 在 被 限制 时 可 能 会 带 来 其 他 破坏 。 比 如 一 个 
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被 破坏 的 主机 可 能 运行 一 个 恶意 进程 ,定期 ping 另 一 台 主 机 , 当 安 全 事件 处 理 人 员 为 了 限 
制 安全 事件 而 切断 该 主机 与 网 络 的 连接 时 ,以 后 的 ping 命令 将 无 法 发 挥 作用 ,结果 该 恶意 
进程 可 能 将 所 有 数据 写 到 主机 的 硬盘 中 。 安 全 事件 处 理 人 员 不 应 该 仅仅 因为 主机 从 网 络 中 
断 接 了 ,就 假定 已 经 防止 了 对 主机 的 进一步 破坏 。 
2) 证 据 搜 集 和 处 理 
尽管 在 安全 事件 中 收集 证 据 的 主要 理由 是 解决 安全 事件 ,但 是 这 还 需要 法 律 行动 。 这 
些 情况 下 ,要 明确 记录 所 有 证 据 , 包 括 被 破坏 系统 是 如 何 得 到 保留 的 。 应 该 按照 一 定 的 流程 
来 收集 证 据 , 这 些 流程 要 符合 所 有 适用 的 法 律 和 条 例 ,并 根据 与 法 律 人 员 或 适当 的 执法 机 构 
的 讨论 结果 制定 出 来 ,这 样 才能 在 法 庭 上 被 采纳 。 此 外 ,对 证 据 要 随时 给 予 说 明 ,在 证 据 移 
交 过 程 中 ,应 该 在 保管 链表 上 对 交接 详 加 说 明 并 要 有 各 方 的 签名 ,此 外 还 要 为 所 有 证 据 保 留 
一 份 详细 的 日 志 。 
3) 确定 攻击 者 
在 安全 事件 处 理 期 间 ,系统 拥有 者 和 其 他 人 一 般 都 想 知道 攻击 者 是 谁 。 尽 管 这 个 信息 
很 重要 ,特别 是 当 组 织 希 望 能 对 其 进行 起 诉 时 ,但 是 安全 事件 处 理 人 员 应 该 将 精力 集中 在 对 
安全 事件 的 限制 ,消除 和 恢复 上 。 查 询 攻 击 者 身份 可 能 是 一 个 耗 时 而 又 无 效 的 过 程 , 它 可 能 
妨碍 小 组 实现 其 主要 目标 : 将 业务 影响 减 小 到 最 低 程 度 。 在 识别 攻击 者 过 程 中 最 常 采 取 的 
活动 如 下 : 
。 确认 攻击 者 的 IP 地 址 。 安 全 事件 处 理 方面 的 新 手 通 常 都 会 把 注意 力 集中 在 攻击 者 
的 IP 地 址 上 ,试图 使 用 ping、traceroute 或 其 他 一 些 方法 来 确认 该 IP 地 址 是 不 是 假 
冒 的 。 但 是 ,这 样 做 意义 不 大 ,最 多 也 只 能 表明 这 个 地 址 对 应 的 主机 对 请 求 做 出 了 
响应 。 没 有 响应 并 不 表示 这 个 地 址 不 真实 ,比如 某 台 主机 可 能 被 配置 成 不 响应 ping 
或 是 traceroute。 此 外 ,攻击 者 的 地 址 可 能 是 动态 获得 的 (比如 来 自 拨号 Modem 
池 ) ,该 地 址 可 能 又 被 分 配给 其 他 人 。 更 重要 的 是 ,如 果 IP 地 址 是 真实 的 ,那么 小 组 
ping 它 时 反而 会 让 攻击 者 察觉 到 组 织 已 经 检测 到 他 的 活动 。 如 果 这 是 在 安全 事件 
完全 限制 之 前 ,那么 攻击 者 可 能 还 会 制造 其 他 破坏 ,比如 清除 硬盘 上 的 攻击 证 据 。 
在 采取 地 址 确认 这 样 的 动作 时 ,小 组 应 该 考虑 并 使 用 其 他 组 织 的 IP 地 址 (如 ISP)， 
这 样 确认 活动 的 真实 源头 就 对 攻击 者 隐藏 了 起 来 。 
。 扫描 攻击 者 的 系统 。 有 些 安全 事件 处 理 人 员 除 了 用 ping 或 traceroute 来 检查 IP 地 
址 之 外 还 会 采取 更 多 措施 。 他 们 可 能 会 使 用 端口 扫描 、 弱 点 扫描 工具 及 其 他 一 些 工 
具 来 收集 更 多 关于 攻击 者 的 信息 。 比 如 扫描 活动 可 能 会 发 现 系统 中 有 特洛伊 木马 
正在 监听 ,这 意味 着 攻击 主机 本 身 已 经 受到 破坏 。 在 使 用 这 些 扫描 工具 之 前 ,安全 
事件 处 理 人 员 应 该 先 与 组 织 的 法 律 代表 进行 讨论 ,因为 这 类 扫描 可 能 会 和 组 织 的 政 
策 冲突 ,其 至 触犯 法 律 。 
。 使 用 网 络 搜索 引擎 查找 攻击 者 。 在 大 多 数 攻击 中 ,安全 事件 处 理 人 员 至 少 会 有 一 些 
关于 攻击 者 可 能 身份 的 一 些 信息 ,比如 IP 源 地址 .电子 邮件 地 址 或 是 IRC 上 的 昵 
称 。 利 用 这 些 数据 在 因特网 上 进行 搜索 可 能 会 搜索 到 更 多 的 攻击 者 信息 ,如 有 关 类 
似 攻击 的 邮件 列表 消息 ,甚至 是 攻击 者 的 Web 主页 。 这 些 搜索 工作 并 不 需要 在 安 
全 事件 被 完全 限制 之 前 进行 。 
。 使 用 安全 事件 数据 库 。 由 几 个 小 组 收集 来 自 各 个 组 织 的 入 侵 检测 和 防火 墙 日 志 数 
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据 并 将 它们 合并 到 安全 事件 数据 库 中 。 有 些 这 样 的 数据 库 允 许 人 们 搜索 对 应 一 个 
特定 IP 地 址 的 记录 。 安 全 事件 处 理 人 员 可 以 使 用 该 数据 库 来 查看 是 否 有 其 他 组 织 
正在 报告 来 自 相 同 来 源 的 可 疑 活动 。 组 织 也 可 以 检查 自己 的 安全 事件 追踪 系统 或 
数据 库 来 查找 相关 活动 。 
。 对 攻击 者 可 能 的 通信 信道 进行 监视 。 有 些 安全 事件 处 理 人 员 用 来 确定 攻击 者 的 另 
一 种 方法 是 监视 攻击 者 可 能 使 用 的 通信 信道 。 比 如 ,攻击 者 可 能 聚集 在 某 个 IRC 频 
道上 , 吹 咕 他 们 已 经 算 改 了 哪些 Web 主页 。 但 是 安全 事件 处 理 人 员 应 该 仅仅 将 他 
们 得 到 的 这 类 信息 看 作 是 深入 调查 和 证 实 的 潜在 线索 ,而 不 是 事实 。 
4) 消除 和 恢复 
在 安全 事件 被 限制 之 后 ,就 要 开始 着 手 消除 安全 事件 的 各 个 组 成 部 分 ,比如 清除 恶意 代 
码 、 禁 用 违规 账号 。 对 有 些 安 全 事件 ,消除 工作 或 者 没 必要 或 者 要 在 恢复 过 程 中 开展 。 在 恢 
复 过 程 中 ,管理 员 要 把 系统 恢复 到 正常 状态 ,并 且 对 系统 进行 加 固 防 止 类 似 安全 事件 的 再 次 
发 生 。 恢 复工 作 通 常会 涉及 以 下 活动 ,比如 从 干净 的 备份 上 对 系统 进行 恢复 、 重 建 系统 、 用 
干净 的 版 本 来 蔡 换 被 破坏 的 文件 .安装 补丁 ,更换 口令 并 加 强 网 络 边界 安全 (比如 防火 墙 规 
则 集 .边界 路 由 器 的 访问 控制 列表 )。 最 好 采用 更 高 级 别 的 系统 日 志 或 网 络 监视 ,作为 恢复 
过 程 的 一 部 分 。 一 旦 某 个 资源 被 成 功 攻击 ,那么 它 往 往 还 会 再 次 遭 到 攻击 ,或 者 同一 组 织 中 
的 其 他 资源 可 能 会 遭 到 类 似 的 攻击 。Internet 上 有 许多 用 于 恢复 和 保护 系统 的 有 用 资源 。 
4. 事件 后 活动 
1) 汲 取经 验 
学 习 和 改进 是 安全 事件 响应 中 最 重要 也 是 经 常 被 忽略 的 部 分 。 每 个 安全 事件 响应 小 组 
都 应 该 不 断 进 步 以 应 对 新 的 威胁 、 适 应 新 的 技术 并 汲取 经 验 教训 。 在 发 生 严 重 安全 事件 后 ， 
许多 组 织 都 会 举办 一 次 "经验 汲取 ”会 议 ,这 对 改善 安全 措施 以 及 安全 事件 处 理 过 程 本 身 是 
非常 有 帮助 的 。 这 类 会 议 通过 回顾 发 生 何 种 事件 ,采取 了 何 种 活动 来 解决 问题 以 及 解决 程 
度 如 何等 提供 一 次 机 会 来 对 安全 事件 做 出 结论 。 这 类 会 议 应 该 在 安全 事件 发 生 后 的 几 天 内 
举行 。 
另 一 个 重要 的 安全 事件 后 活动 是 针对 每 个 安全 事件 创建 一 个 随后 的 报告 ,并 建立 正式 
的 事件 年 表 ( 包 括 像 系统 日 志 信息 这 样 的 时 间 截 信息 ) ,这 对 将 来 使 用 非常 有 用 。 事 件 报告 
将 为 今后 协助 处 理 类 似 安全 事件 提供 参考 ,并 可 能 作为 日 后 进行 起 诉 活 动 的 基础 。 后 续 报 
告 应 该 按照 记录 保存 政策 中 所 规定 的 时 间 进 行 保 存 。 
2) 使 用 收集 到 的 数据 
经 验 汲取 活动 应 该 产生 与 每 个 安全 事件 相关 的 一 套 主观 和 客观 数据 。 一 段 时 间 后 ,这 
些 安 全 事件 数据 应 该 在 多 个 方面 都 能 用 到 。 这 些 数据 ,尤其 是 事件 总 耗费 时 间 和 成 本 可 能 
会 被 用 来 说 明 安 全 事件 响应 小 组 额外 资金 的 合理 性 。 安 全 事件 特征 研究 可 能 会 揭示 出 系统 
安全 弱点 和 威胁 ,以 及 安全 趋势 的 变化 。 这 些 数据 也 可 以 反馈 到 风险 评估 过 程 中 ,并 最 终 对 
安全 控制 的 选择 和 实现 提供 指导 。 这 些 数据 同时 还 可 以 为 安全 事件 响应 小 组 的 成 功 与 否 加 
以 度量 。 如 果 安 全 事件 数据 能 够 适当 收集 并 合理 存放 , 它 应 该 提供 几 种 对 安全 事件 响应 小 
组 成 功 性 的 度量 方法 。 
3) 证 据 保 存 
组 织 应 该 建立 相关 政策 对 证 据 保存 的 时 间 做 出 规定 ,多 数组 织 选择 在 安全 事件 结束 后 
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将 所 有 证 据 保 存 几 个 月 或 几 年 。 在 创建 政策 过 程 中 应 该 考虑 以 下 因素 : 

(1) 起 诉 。 

如 果 要 对 攻击 者 进行 起 诉 ,那么 可 能 需要 将 证 据 保存 到 所 有 的 法 律动 作 结 束 为 止 。 有 
些 情 况 下 ,证 据 可 能 会 保存 几 年 时 间 。 而 且 现 在 看 起 来 没有 意义 的 证 据 可 能 在 将 来 变 得 非 
常 重要 。 比 如 ,攻击 者 可 能 根据 之 前 的 攻击 中 收集 到 的 信息 又 发 起 更 为 严重 的 攻击 ,那么 来 
自 第 一 次 攻击 的 证 据 在 解释 第 二 次 攻击 如 何 实现 时 就 非常 关键 。 

(2) 数据 保存 。 

多 数组 织 都 有 数据 保存 政策 ,规定 某 些 类 型 的 数据 需要 保存 的 时 间 。 比 如 , 某 个 组 织 规 
定 电子 邮件 消息 最 多 保存 180 天 。 如 果 磁 盘 映 像 中 包含 几 千 封 电子 邮件 ,组织 可 能 不 希望 
此 映像 的 保存 期 超过 180 天 ,除非 确实 有 必要 。 一 般 记 录 时 间 表 规定 安全 事件 处 理 记 录 应 
该 保存 3 年 。 

(3) 成 本 。 

作为 证 据 存放 的 原始 硬件 (如 硬盘 . 遭 破坏 系统 ) 以 及 用 来 保存 磁盘 映像 的 硬盘 和 其 他 
设备 对 多 数组 织 来 讲 都 不 贵 。 但 是 ,如 果 组 织 常年 保存 着 大 量 的 这 种 设备 , 那 成 本 就 会 很 
高 。 组 织 还 必须 保留 专门 的 计算 机 ,可 以 使 用 这 些 被 保存 的 硬件 (如 硬盘 ) 和 介质 (如 备份 
磁带 ) 。 

4) 安全 事件 处 理 核对 

针对 安全 事件 各 个 阶段 的 处 理 过 程 建立 安全 事件 处 理 核对 表 , 然 后 ,安全 事件 处 理 人 员 
使 用 该 核对 表 来 配合 特定 类 型 的 安全 事件 。 

5) 建议 

获取 在 安全 事件 处 理 过 程 中 可 能 有 价值 的 工具 和 资源 。 如 果 安 全 事件 响应 小 组 拥有 各 
种 工具 和 资源 ,那么 就 能 更 为 有 效 地 处 理 安全 事件 。 这 些 工 具 和 资源 包括 联系 簿 、 加 密 软 
件 、 网 络 图 备份 设备 .计算 机 犯罪 取证 软件 .端口 列表 及 安全 补丁 等 。 

通过 保证 网 络 .系统 以 及 应 用 充分 安全 来 预防 安全 事件 的 发 生 , 不 仅 对 组 织 有 好 处 ,而 
且 可 以 减少 安全 事件 响应 小 组 的 工作 负担 。 开 展 定期 风险 评估 并 将 已 知 风险 降低 到 可 接受 
的 程度 对 减少 安全 事件 的 数量 非常 有 效 。 用 户 .IT 人 员 及 管理 层 对 安全 政策 和 流程 的 意识 
也 是 很 重要 的 。 

通过 不 同类 型 计算 机 安全 软件 产生 的 报警 来 识别 前 兆 和 迹象 。 基 于 网 络 和 主机 的 人 侵 
检测 系统 、 反 病毒 软件 及 文件 完整 性 检测 软件 都 可 以 对 事件 的 征兆 进行 检测 。 每 种 软件 都 
可 以 检测 到 其 他 类 型 软件 所 无 法 检测 到 的 安全 事件 。 所 以 ,建议 同时 使 用 多 种 计算 机 安全 
软件 。 第 三 方 的 监视 服务 也 是 很 有 用 的 。 

为 外 部 组 织 报告 安全 事件 建立 相关 机 制 。 有些 外 部 组 织 希 望 将 安全 事件 报告 给 本 组 
织 , 他 们 可 能 认为 组 织 内 部 有 人 发 起 了 攻击 。 组 织 应 该 公布 一 个 电话 号 码 及 电子 邮件 地 址 ， 
使 外 部 组 织 能 通过 它们 来 报告 安全 事件 。 


7.4.2 应急 计划 


1988 年 , 莫 里 斯 蠕虫 以 迅雷 不 及 掩 耳 之 势 肆虐 互联 网 ,导致 上 千 台 计算 机 系统 的 骨 溃 ， 
造成 数 千 万 美元 的 损失 。 这 突如其来 的 灾难 ,给 人 们 敲 响 了 警钟 , 面 对 信息 系统 遭遇 侵害 程 
度 的 不 断 增强 ,对 付 入 侵 不 仅 需 要 防御 ,还 要 能 够 在 事件 发 生 后 进行 应 急 响 应 和 处 理 。1989 
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年 ,在 美国 国防 部 的 资助 下 ,CERT(Computer Emergency Response Team ,计算 机 紧急 响应 
小 组 )/CCCCall Center) 成 立 。 从 此 应 急 响应 被 摆 到 了 人 们 的 议事 桌 上 。CERT 成 立 以 后 
做 了 大 量 工作 ,但 最 大 的 成 就 就 是 使 应 急 响应 为 人 们 普遍 接受 。 

一 般 来 说 ,每 个 使 用 信息 系统 的 组 织 都 应 当 有 一 套 应 急 响 应 的 机 制 , 应 急 响 应 机 制 包 括 
两 个 环节 : 应 急 响 应 组 织 和 应 急 计划 。 

应 急 响应 组 织 的 主要 工作 是 对 安全 事件 与 软件 安全 缺陷 进行 分 析 研 究 ,开发 与 管理 安 
全 知识 库 ,并 发 布 安全 信息 ,进行 安全 事件 的 紧急 处 理 , 同 时 进行 安全 管理 和 应 急 知识 的 教 
育 与 培训 。 应 急 响应 组 织 包 括 应 急 保 障 领导 小 组 和 应 急 技术 保障 小 组 。 应 急 保障 领导 小 组 
的 主要 职责 是 领导 与 协调 突 发 事件 与 自然 灾害 的 应 急 处 理 。 应 急 技术 保障 小 组 主要 解决 安 
全 事件 的 技术 问题 ,如 物理 实体 和 环境 安全 技术 、 网 络 通 信和 技术 、 系 统 平台 技术 、 应 用 系统 技 
术 等 。 

应 急 计划 是 指 根 据 不 同 的 突 发 紧急 事件 类 型 和 意外 情形 ,预先 制定 的 处 理 方案 与 计划 。 
应 急 计 划一 般 包 括 执行 应 急 计划 的 人 员 、 系 统 紧 急事 件 类 型 及 处 理 措施 的 详细 说 明 ,应 急 处 
理 的 具体 步骤 和 操作 顺序 3 个 重要 方面 。 应 急 计划 的 目标 是 在 灾难 期 间 当 信息 系统 或 普通 
运行 环境 不 可 用 时 ,继续 为 客户 提供 服务 ,遵守 规章 需求 ,并 继续 内 部 业务 。 应 急 操作 的 实 
现 可 以 在 原始 站 或 备用 站 上 进行 。 应 急事 件 处 理 的 基本 流程 和 步骤 主要 包括 7 个 重要 方 
面 ,下 面 将 对 各 个 环节 进行 详细 说 明 。 

1. 安全 事件 报警 

值班 人 员 发 现 紧急 情况 ,要 及 时 报告 。 报 告 要 对 安全 事件 进行 准确 描述 并 作 书 面 记录 。 
按照 安全 事件 的 类 型 ,安全 事件 呈报 条 例 应 依次 报告 值班 人 员 、 应 急 工作 组 长 以 及 应 急 领 导 
小 组 。 如 果 想 进行 任何 类 型 的 跟踪 调查 或 者 起 诉 入 侵 者 ,应 先 跟 管 理 人 员 和 法 律 顾问 商量 ， 
然后 通知 有 关 执 法 机 构 。 一 定 要 记 住 ,除非 有 执法 部 门 的 参与 ,否则 对 入 侵 者 进行 的 一 切 跟 
踪 都 可 能 是 非法 的 。 同 时 ,还 应 通知 有 关 人 员 ,交换 相关 信息 ,必要 时 可 以 获得 援助 。 

2, 安全 事件 确认 

应 急 计 划 是 根据 安全 事件 的 类 型 进行 对 应 的 处 理 的 ,确定 安全 事件 的 类 型 ,以 便 启动 相 
应 的 应 急 计划 。 一 些 常 见 的 安全 事件 类 型 有 : 物理 实体 及 环境 安全 类 安全 事件 ,如 意外 停 
电 、 物 理 设备 丢失 .火灾 ,水 灾 等 ; 网 络 通信 类 安全 事件 ,如 网 络 蠕虫 侵害 等 ; 主机 系统 类 安 
全 事件 ,如 计算 机 病毒 .口令 丢失 等 ; 应 用 系统 类 安全 事件 ,如 客户 信息 丢失 等 。 

3. 启动 应 急 计划 

首先 要 能 够 找到 应 急 计 划 , 接 下 来 就 是 要 保护 现场 证 据 ( 如 系统 事件 .处 理 者 采取 的 行 
动 . 与 外 界 的 沟通 等 ) ,避免 灾害 扩大 。 

4. 恢复 系统 

首先 考虑 安装 干净 的 操作 系统 版 本 。 如 果 主 机 被 侵入 ,就 应 当 考 虑 系统 中 的 任何 东西 
都 可 能 被 攻击 者 修改 过 了 ,包括 内 核 ` 二 进 制 可 执行 文件 ,数据 文件 .正在 运行 的 进程 以 及 内 
存 。 通 常 ,需要 从 发 布 介质 上 重 装 操作 系统 ,然后 在 重新 连接 到 网 络 上 之 前 ,安装 所 有 的 安 
全 补丁 ,只 有 这 样 才 会 使 系统 不 受 后 门 和 攻击 者 的 影响 。 只 是 找 出 并 修补 被 攻击 者 利用 的 
安全 缺陷 是 不 够 的 。 建 议 使 用 干净 的 备份 程序 备份 整个 系统 ,然后 重 装 系统 。 只 配置 系统 
要 提供 的 服务 ,取消 那些 没有 必要 的 服务 。 检 查 并 确信 其 配置 文件 有 没有 脆弱 性 及 该 服务 
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是 否 可 靠 。 同 时 安装 供应 商 提供 的 所 有 补丁 ,使 系统 能 够 抵御 外 来 攻击 ,不 被 再 次 侵入 ,这 
是 最 重要 的 一 步 。 并 查阅 CERT 的 安全 建议 .安全 总 结 和 供应 商 的 安全 提示 。 谨 慎 使 用 备 
份 数据 ,在 从 备份 中 恢复 数据 时 ,要 确信 备份 主机 没有 被 侵入 。 恢 复 过 程 可 能 会 重新 带 来 安 
全 缺陷 ,被 入 侵 者 利用 。 最 后 要 修改 密码 ,在 弥补 了 安全 漏洞 或 者 解决 了 安全 配置 问题 以 
后 ,建议 改变 系统 中 所 有 的 账户 的 密码 。 

S. 加 强 系统 和 网 络 的 安全 

首先 根据 CERT 和 UNIX/NT 配置 指南 检查 系统 的 安全 性 ,并 安装 所 有 选择 的 安全 工 
具 。 同 时 ,最 好 使 用 Tripwrite aide 等 工具 对 系统 文件 进行 MD5 校 验 , 把 校 验 码 存储 在 安 
全 的 地 方 , 以 便 以 后 对 系统 进行 检查 。 其 次 ,启动 日 志 、 检 查 或 记 账 程序 ,将 它们 设置 到 准确 
的 级 别 ,并 配置 防火 墙 对 网 络 进 行 预防 ,然后 再 重新 连接 到 Internet 。 

6. 应 急 工作 总 结 

召开 会 议 ,分析 问题 和 解决 方法 。 会 议 主要 商讨 的 内 容 包 括 3 个 方面 : 第 一 ,总 结 教 
训 , 从 记录 中 总 结 出 这 起 安全 事件 的 教训 ,这 有 助 于 检讨 自己 的 安全 策略 ; 第 二 ,计算 事件 
的 代价 ,使 组 织 认识 到 安全 的 重要 性 ; 第 三 ,改进 安全 策略 。 

7. 撰写 安全 事件 报告 

安全 事件 报告 的 主要 内 容 包 括 安全 事件 发 生 的 时 间 ,安全 事件 处 理 参 加 的 人 员 ,事件 发 
现 的 途径 ,事件 类 型 .事件 涉及 范围 .现场 记录 、 事 件 导 致 的 损失 和 影响 、 事 件 处 理 过 程 使 用 
的 技术 和 工具 ,经验 和 教训 。 


7.5 灾难 恢复 


信息 系统 的 灾难 恢复 指 的 是 系统 遭遇 自然 或 人 为 灾害 以 后 ,重新 启用 信息 系统 的 数据 、 
硬件 及 软件 设备 ,恢复 正常 运作 的 过 程 。 简 单 地 说 ,灾难 恢复 是 灾后 恢复 操作 的 能 力 。 灾 难 
恢复 计划 是 涵盖 面 广泛 的 业务 连续 性 计划 的 一 部 分 ,其 核心 是 对 企业 或 机 构 的 灾难 性 风险 
做 出 评估 、 防 范 ,特别 是 对 关键 性 业务 数据 、 流 程 予以 及 时 记录 、 备 份 和 保护 。 

这 里 的 灾难 指 的 是 任何 导致 信息 系统 持续 一 段 时 间 失 效 的 危害 ,如 病毒 黑客 、 水 灾 、 火 
灾 等 。 对 于 信息 系统 来 说 ,一 旦 突 发 灾难 ,将 会 在 很 大 程度 上 造成 系统 软 硬 件 基础 设施 、 业 
务 数据 等 的 毁灭 ,要 应 对 突如其来 的 灾难 ,保障 信息 系统 的 持续 服务 能 力 ,就 需要 提供 信息 
系统 的 灾难 恢复 功能 。 美 国 的 明尼苏达 大 学 的 一 项 研究 表明 : 金融 业 在 灾难 停机 2 天 内 所 
遭受 的 损失 为 日 营业 额 的 50% ,如 果 两 个 星期 内 无 法 恢复 信息 系统 ,75% 的 公司 将 业务 停 
顿 ,43% 的 公司 将 再 也 无 法 开业 ; 没有 实施 灾难 备份 措施 的 公司 60% 将 在 灾难 后 2 一 3 年 间 
破产 。 由 此 可 见 , 灾 难 恢复 是 企业 业务 持续 运作 的 保障 ,同时 也 是 企业 规避 风险 、 健 康 发 展 
的 要 求 ,更 是 行业 监管 政策 的 要 求 。 自 2000 年 以 来 ,我 国 国务 院 办 公 打 以 及 国信 办 也 持续 
颁发 了 一 系列 关于 信息 系统 灾难 备份 与 恢复 的 监管 政策 。 

信息 系统 中 的 数据 根据 其 存储 位 置 的 不 同 , 其 安全 可 以 分 为 两 个 层面 : 数据 的 静态 安 
全 与 数据 的 动态 安全 。 数 据 的 静态 安全 顾名思义 , 指 的 是 防止 存放 在 数据 服务 器 存储 设备 
上 的 数据 被 窃取 修改 、 删 除 或 破坏 。 而 数据 的 动态 安全 是 指 在 数据 传输 过 程 中 防止 信息 被 


136 信息 系统 安全 


截获 或 自 改 ,常用 的 技术 手段 及 工具 包括 数据 备份 .快速 恢复 .异地 存放 远程 控制 .灾难 恢 
复 等 技术 ,所 强调 的 重点 在 于 “ 保 ”。 目 前 系统 保护 技术 主要 是 指数 据 备份 和 恢复 技术 ,本 节 
将 重点 讨论 数据 分 类 ,数据 备份 和 灾难 恢复 技术 等 内 容 。 


7.5.1 数据 分 类 


数据 资源 是 数据 中 心中 最 为 重要 的 资源 ,没有 数据 的 数据 中 心 是 没有 丝毫 意义 和 作用 
的 。 同 时 数据 也 是 信息 系统 的 核心 资产 ,网 络 攻击 者 和 别有用心 的 人 攻击 网 络 的 主要 目的 
之 一 是 获取 敏感 数据 。 因 此 ,对 数据 资源 的 管理 是 一 项 非常 重要 的 运行 管理 工作 。 其 中 , 数 
据 分 类 是 数据 资源 管理 的 主要 内 容 之 一 。 

随 着 数据 量 的 迅速 增长 ,数据 中 心 必须 制定 切实 可 行 的 计划 ,以 便 在 当今 和 将 来 较 长 的 
时 间 内 有 效 地 管理 和 保护 这 些 数 据 ,从 而 确保 这 些 组 织 的 成 功 和 生存 。 然 而 ,并 非 所 有 信息 
都 是 价值 相等 的 。 价 值 特别 高 的 活动 的 在 线 数据 必须 随时 可 供 多 个 组 织 和 应 用 程序 快速 存 
取 。 有 些 数据 要 求 每 天 24 小 时 具有 100% 的 即时 存 取 能 力 , 不 容许 停机 。 有 些 数据 对 于 某 
些 组 织 比 对 于 另外 一 些 组 织 更 重要 。 有 些 数据 会 随 着 时 间 的 推移 而 改变 其 价值 ,而 有 些 数 
据 的 存档 只 是 为 了 偶尔 存 取 或 长 期 存储 。 

了 解数 据 对 于 日 常 业务 运作 的 价值 ,并 了 解 何 种 数据 需要 以 多 快 的 速度 存 取 ,是 信息 生 
命 周 期 管理 计划 的 所 有 要 素 的 基础 ,这 些 要 素 包 括 : 

。 设计 有 效 的 存储 基础 结构 战略 。 

。 优 化 存储 管理 以 控制 与 信息 增长 和 存储 利用 率 相关 的 成 本 和 复杂 性 。 

。 整合 信息 存储 以 使 当前 投资 的 信息 基础 结构 变 得 更 高 效 、 更 易于 管理 。 

。 规划 业务 连续 性 ,以 便 有 效 管理 所 有 环境 下 的 数据 可 用 性 。 

数据 分 类 是 执行 信息 生命 周期 管理 计划 的 任何 工作 都 必 不 可 少 的 第 一 步 。 数 据 分 类 也 
是 信息 系统 实施 安全 等 级 保护 的 基本 原则 ,按照 数据 的 价值 的 不 同 划分 数据 的 类 别 ,对 不 同 
类 别 的 数据 ,应 实施 不 同 的 安全 等 级 保护 。 

数据 分 类 是 一 个 流程 , 它 定义 了 一 个 组 织 的 不 同类 型 数据 的 性 能 和 可 用 性 特征 ,并 针对 
每 种 分 类 建议 了 可 满足 其 需要 的 适当 的 存储 技术 。 企 业 ( 机 构 ) 中 的 数据 按 逻辑 类 别 分 组 ， 
以 便于 实现 关键 存储 目标 。 

若 要 制定 一 个 灾难 恢复 战略 或 业务 连续 性 规划 , 则 需要 按照 业务 的 关键 程度 对 数据 进 
行 分 类 。 这 样 就 能 够 在 数据 的 业务 价值 和 保护 这 些 数 据 所 需 的 数据 恢复 措施 之 间 建 立 适当 
的 联系 。 若 要 定义 一 个 资源 占用 收费 模型 , 则 需要 按照 消耗 的 存储 资源 ,或 按照 管理 成 本 对 
数据 进行 分 类 。 这 将 确保 各 部 门 的 存储 负担 与 其 所 使 用 的 存储 资源 量 相称 。 若 要 制定 一 个 
全 面 的 存储 战略 , 则 需要 根据 业务 优先 级 (如 首先 投放 市 场 、 客 户 宣传 等 ) ,对 数据 进行 分 类 。 
这 将 确保 数据 被 维护 在 与 其 业务 优先 级 相称 的 适当 的 存储 基础 结构 上 。 在 设计 一 个 信息 存 
储 整合 规划 时 ,可 能 就 需要 按照 物理 状态 和 位 置 对 数据 分 类 。 这 样 就 能 够 发 现 并 消除 数据 
孤岛 ,并 使 最 重要 的 数据 项 更 接近 其 最 终 用 户 。 

有 效 的 数据 分 类 从 确定 数据 的 使 用 目标 开始 ,例如 ,制定 一 个 业务 连续 性 计划 ,为 所 有 
部 门 或 一 些 部 门 制定 资源 占用 收费 计划 ,或 者 移动 或 整合 一 个 数据 中 心 。 这 决定 了 如 何 对 
数据 进行 分 组 或 分 段 ,以 便 最 好 地 实现 特定 的 目标 。 这 一 做 法 希望 达到 的 最 终 目的 是 创建 
一 个 可 操作 的 模型 , 它 定义 了 一 组 有 限 且 可 识别 的 信息 ,可 以 以 一 种 能 够 满足 既定 业务 目标 
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的 方式 操作 这 些 信息 。 

通过 数据 分 类 确定 关键 业务 数据 是 一 个 长 期 的 过 程 , 随 着 公司 或 机 构 数 据 的 不 断 增 长 ， 
必须 制定 一 个 对 数据 进行 分 类 保护 的 策略 ,以 保证 数据 保护 计划 与 公司 业务 同步 ,下 面 概括 
了 数据 分 类 的 一 些 方法 。 

(1) 公开 数据 。 该 类 是 公开 发 布 的 数据 ,需要 进行 完整 性 保护 。 应 按 第 一 级 用 户 自主 
保护 级 的 要 求 进行 安全 设计 

(2) 一 般 数 据 。 该 类 数据 的 破坏 和 泄露 ,将 会 带 来 一 定 的 损失 ,应 按 第 二 级 , 即 指导 保 
护 级 的 要 求 进行 安全 设计 。 

(3) 重要 数据 。 该 类 数据 具有 重要 价值 或 机 密 程度 ,需要 进行 重点 保护 ,应 按照 第 三 
级 , 即 监督 保护 级 的 要 求 进行 安全 设计 。 

(4) 关键 数据 。 该 类 数据 具有 很 高 的 使 用 价值 或 机 密 程 度 ,需要 进行 特别 保护 ,应 按 第 
四 级 , 即 强制 保护 级 的 要 求 进行 安全 设计 。 

(5) 核心 数据 。 该 类 数据 具有 最 高 使 用 价值 或 机 密 程度 ,需要 进行 绝对 保护 ,应 按 专 控 
保护 级 的 要 求 进行 设计 。 

若 能 正确 执行 ,数据 分 类 就 可 以 产生 一 个 模型 ,这 一 模型 可 将 具有 相似 数据 管理 要 求 的 
数据 整合 到 同一 逻辑 分 组 中 ,从 而 不 再 需要 分 别 描述 各 个 数据 项 。 然 后 ,可 以 使 用 此 模型 帮 
助 定义 变化 情形 或 提供 一 个 框架 以 便 创 建 分 层 存储 体系 结构 。 

数据 分 类 模型 可 以 为 企业 或 机 构 增 添 巨大 的 价值 。 有 效 的 数据 分 类 是 实施 企业 或 机 构 
数据 管理 优化 战略 的 坚实 基础 。 数 据 分 类 有 以 下 几 方 面 的 价值 : 

(1) 提供 了 组 织 中 各 类 数据 的 清晰 景象 。 

(2) 描述 了 核心 业务 职能 和 相关 数据 之 间 的 联系 。 

(3) 展示 出 数据 对 于 业务 来 说 所 具有 的 经 济 价值 。 

(4) 为 每 一 种 数据 类 别 设计 和 制定 共享 的 技术 体系 结构 。 

(5) 为 每 一 种 数据 类 别 定义 一 套 与 存储 相关 的 服务 (例如 可 用 性 、 可 恢复 性 、 可 管理 性 、 
可 扩展 性 和 可 补充 性 )。 

对 于 全 面 实 现 更 广泛 的 存储 相关 计划 的 价值 来 说 ,数据 分 类 是 一 项 必 不 可 少 的 基础 工 
作 。 将 数据 分 类 作为 存储 相关 计划 中 一 个 不 可 缺少 的 组 成 部 分 ,收集 必要 的 信息 来 优化 存 
储 环境 并 使 投资 得 到 最 大 的 回报 。 

应 将 数据 分 类 看 作 关 键 的 第 一 步 , 它 使 许多 重要 的 存储 管理 能 力 得 以 实现 。 适 当 的 数 
据 分 类 为 各 层 应 用 程序 及 其 数据 确立 了 服务 级 别 需求 ,服务 级 别 需求 是 由 适当 的 技术 配置 
级 别提 供 的 。 

数据 分 类 的 最 终 目 标 是 最 后 在 企业 或 机 构 内 部 提供 一 种 可 操作 的 数据 分 组 机 制 。 作 为 
其 结果 产生 的 数据 分 类 模型 接着 可 以 用 来 围绕 当前 的 企业 或 机 构 存 储 做 法 构建 业务 案例 ， 
或 者 用 来 帮助 实施 建议 的 与 存储 相关 的 计划 。 


7.5.2 灾难 备份 


在 信息 化 程度 比较 高 的 行业 ,如 IT 行业 、 金 融 行业 等 ,一 旦 发 生 重大 安全 问题 或 未 知 
灾难 ,将 直接 影响 到 行业 的 各 项 工作 ,并 危及 其 未 来 的 发 展 , 造 成 严重 的 后 果 。 因 此 ,对 灾难 
的 未 雨 绸 缪 逐渐 受到 关注 ,灾难 备份 也 日 益 受 到 重视 。 
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灾难 备份 是 指 为 了 降低 灾难 发 生 的 概率 以 及 灾难 发 生 时 或 发 生 以 后 造成 的 损失 而 采取 
的 各 种 防范 措施 。 为 了 对 灾难 进行 恢复 ,灾难 备份 一 般 会 对 数据 ` 数 据 处 理 系统 、 网 络 系统 、 
基础 设施 .技术 支持 能 力 和 运行 管理 能 力 进行 备份 。 灾 难 备份 的 主要 目标 是 保护 数据 和 系 
统 的 完整 性 ,使 业务 数据 损失 最 少 甚至 没有 业务 数据 损失 。 

衡量 灾难 备份 效果 的 两 个 主要 技术 指标 是 恢复 点 目标 (Recovery Point Object, RPO) 
和 恢复 时 间 目 标 (Recovery Time Object,RTO) 。 其 中 RPO 指 的 是 灾难 发 生 时 刻 与 最 近 一 
次 数据 备份 时 刻 的 时 间 间 隔 , 即 尚未 来 得 及 对 数据 进行 备份 导致 数据 丢失 的 数据 量 。 主 要 
针对 丢失 的 数据 量 ,代表 了 数据 容 灾 的 指标 。 为 尽 可 能 减少 数据 丢失 ,需要 建立 一 个 远程 的 
数据 存储 系统 ,并 对 生产 系统 进行 数据 的 镜像 备份 。 而 RTO 是 指 系统 从 灾难 发 生 到 重新 
启动 的 时 间 ,代表 系统 恢复 的 能 力 。RTO 针对 的 是 服务 丢失 ,是 衡量 应 用 容 灾 的 指标 , 即 在 
数据 容 灾 的 基础 上 ,在 灾难 备份 中 心 建立 一 套 完整 的 与 生产 系统 匹配 的 备份 应 用 系统 。 在 
灾难 发 生 时 ,灾难 备份 中 心 可 以 迅速 接管 业务 运行 ,不 仅 能 最 大 限度 地 降低 丢失 的 数据 量 ， 
而 且 能 最 大 限度 地 减少 系统 恢复 时 间 ,保证 系统 不 间断 地 运行 。RPO 与 RTO 二 者 没有 必 
然 的 关联 性 ,RTO 和 RPO 的 确定 必须 在 进行 风险 分 析 和 业务 影响 分 析 后 根据 不 同 的 业务 
需求 确定 。 对 于 不 同 企业 的 同一 种 业务 ,RTO 和 RPO 的 需求 也 会 有 所 不 同 。 

根据 国际 标准 SHARE 78 的 定义 ,灾难 备份 技术 方案 可 以 根据 以 下 主要 方面 所 达到 的 
程度 而 分 为 7 个 等 级 ( 详 见 表 7. 1)。 

。 备份 与 恢复 的 范围 。 

。 灾难 恢复 计划 的 状态 。 
应 用 站 点 与 灾难 备份 站 点 之 间 的 距离 。 
应 用 站 点 与 灾难 备份 站 点 之 间 的 连接 方式 。 
。 数据 在 两 个 站 点 之 间 传 输 方 式 。 
允许 丢失 的 数据 量 。 
。 灾难 备份 站 点 数据 更 新 要 求 。 
。 灾难 备份 站 点 可 以 开始 灾难 备份 工作 的 能 力 。 

表 7.1 灾难 备份 方案 的 7 个 等 级 比较 


级 别 特 点 适用 场合 
仅 在 本 地 进行 备份 ,没有 在 异地 备份 数 
0 级 : 无 异地 备份 据 , 未 制定 灾难 恢复 计划 ,成 本 最 低 , 不 具 
备 真 正 的 灾难 恢复 能 力 

将 关键 数据 备份 到 本 地 ,然后 送 往 异地 保 
存 ,但 异地 没有 可 用 的 备份 中 心 、 备 份 数 
1 级 : 异地 备份 据 处 理 系 统 和 备份 网 络 通信 系统 ,未 制定 
灾难 恢复 计划 。 这 种 方案 成 本 较 低 , 但 难 
以 管理 

将 关键 数据 备份 并 存放 到 异地 ,制定 相应 
2 级 : 热 备 份 站 点 | 的 灾难 恢复 计划 ,备份 介质 是 采用 交通 运 
备份 输 方式 送 往 异 地 ,在 异地 有 热 备 份 中 心 ， 
但 保存 的 数据 是 上 一 次 备份 的 数据 


是 所 有 灾难 备份 方案 的 基础 ,从 个 
人 用 户 到 企业 级 用 户 都 广泛 采用 


在 许多 中 小 型 网 站 和 中 小 型 企业 用 
户 中 采用 较 多 。 对 于 要 求 快速 进行 
业务 恢复 和 海量 数据 恢复 的 用 户 ， 
这 种 方案 是 不 能 够 被 接受 的 


灾难 发 生 后 可 能 会 有 几 天 甚至 几 周 
的 数据 丢失 , 故 不 能 用 于 关键 数据 
的 灾难 备份 
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续 表 
级 别 特点 适用 场合 
通过 网 络 将 关键 数据 备份 并 存放 至 异地 ， 
灾难 i ,有 热 
pt tp at hg 由 于 备份 站 点 要 保持 持续 运行 ,对 
3 级 + 在 线 数据 佐 复 | 于 先 、 特 点 是 用 电子 数据 伟 注 取代 交通 Pe 
工具 传输 备份 数据 ,从 而 提高 了 灾难 恢复 
的 速度 
在 第 3 级 方案 的 基础 上 ,利用 备份 管理 软 | 对 备份 管理 软件 和 网 络 设备 的 要 求 
件 自动 通过 通信 网 络 将 部 分 关键 数据 定 
4 级 ， 定 时 数据 备份 | 时 备份 至 异地 并 制定 相应 的 灾难 恢复 | 较 高 ,导致 成 本 增加 。 还 不 能 满足 
站 ， 关键 行业 对 关键 数据 容 灾 的 要 求 
在 前 几 级 的 基础 上 使 用 硬件 镜像 技术 和 
软件 的 数据 复制 技术 ,关键 应 用 使 用 了 双 
重 在 线 存储 ,减少 了 数据 丢失 量 ,降低 了 
业务 的 恢复 时 间 


利用 专用 的 存储 网 络 将 关键 数据 同步 镜 
6 级 : 零 数据 丢失 像 至 备份 中 心 ,数据 在 本 地 和 异地 都 要 进 
行 确认 ,恢复 速度 最 快 ,实现 零 数 据 丢 失 


既 能 保证 当前 交易 正常 进行 ,又 能 
实时 复制 交易 的 数据 到 异地 ,是 目 
前 应 用 最 广泛 的 方案 


投资 大 ,适合 资金 实力 雄厚 的 大 型 
企业 和 电信 企业 ,适合 交易 较 少 或 
非 实时 交易 的 关键 数据 系统 ,目前 
采用 此 方案 的 用 户 不 多 


5 级 : 实时 数据 备份 


根据 信息 系统 数据 中 心 与 备份 中 心 的 距离 远近 ,可 以 分 为 同城 灾 备 和 异地 灾 备 两 种 灾 
难 备份 方案 。 同 城 灾难 备份 方案 是 在 同城 或 相近 区 域内 建立 两 个 数据 中 心 : 一 个 为 生产 中 
心 ,负责 日 常生 产 运行 ; 另 一 个 为 灾难 备份 中 心 ,负责 在 灾难 发 生 后 的 信息 系统 正常 运行 。 
这 种 方案 由 于 生产 中 心 与 灾难 备份 中 心 的 距离 比较 近 , 比 较 容易 实现 数据 的 同步 镜像 ,保证 
高 度 的 数据 完整 性 和 数据 零 丢 失 。 同 城 灾难 备份 方案 一 般 用 于 防范 火灾 ,建筑 物 破 坏 、 供 电 
故障 、 计 算 机 系统 以 及 人 为 破坏 引起 的 灾难 。 而 异地 灾难 备份 一 般 是 在 两 个 较 远 的 (100km 
以 上 ) 的 城市 分 别 建立 生产 中 心 和 灾难 备份 中 心 ,实现 远 距离 的 灾难 备份 。 异 地 灾难 备份 不 
仅 可 以 防范 火灾 、 建 筑 物 破坏 等 可 能 遇 到 的 风险 隐患 ,还 能 够 防范 战争 地震 ,水灾 等 风险 。 
异地 灾难 备份 需要 更 多 的 投资 。 

同城 灾难 备份 和 异地 灾难 备份 各 有 所 长 。 为 达到 最 理想 的 防 灾 效 果 , 在 保证 信息 系统 
性 能 的 前 提 下 ,可 考虑 采用 同城 和 异地 各 建立 一 个 灾难 备份 中 心 的 解决 方案 。 

灾难 备份 是 一 项 非常 复杂 的 工作 和 任务 ,需要 用 到 多 方面 的 技术 与 设备 ,而 灾难 备份 系 
统 的 核心 技术 是 数据 备份 技术 和 数据 的 存储 备份 技术 。 

(1) 数据 备份 技术 。 

一 个 完整 的 灾难 备份 系统 主要 由 数据 备份 系统 、 备 份 数据 处 理 系统 、 备 份 通信 网 络 系统 
和 完善 的 灾难 恢复 计划 组 成 。 在 灾难 备份 系统 建设 中 ,数据 备份 是 关键 ,如 何 将 数据 (包括 
系统 、 应 用 和 业务 等 数据 ) 完 整 . 实 时 地 复制 到 灾难 备份 中 心 ,是 灾难 备份 系统 建设 中 首先 要 
考虑 的 重点 。 

。 基于 磁盘 系统 的 灾难 备份 技术 : 采用 硬件 数据 复制 技术 ,借助 磁盘 控制 器 提供 的 功 

能 ,通过 专线 实现 物理 存储 器 之 间 的 数据 交换 。 包 括 同步 数据 复制 模式 和 异步 数据 
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复制 模式 两 种 数据 复制 模式 。 
。 基于 软件 方式 的 灾难 备份 技术 : 其 特点 是 与 操作 系统 平台 无 关 , 对 应 用 程序 透明 ， 
此 方式 通过 通信 网 络 实现 数据 在 两 个 不 同 地 点 的 实时 备份 。 

(2) 数据 的 存储 备份 技术 。 

数据 的 存储 备份 技术 是 灾难 备份 的 另 一 个 核心 技术 。 其 中 ,存储 优化 是 提高 灾难 备份 
系统 性 能 的 重要 指标 之 一 。 目 前 ,比较 通用 的 存储 优化 技术 有 直接 连接 存储 (Direct 
Attached Storage，DAS) 网络 连接 存储 (Network Attached Storage,NAS) 和 存储 区 域 网 
络 (Storage Area Network,SAN) 。 

灾难 备份 建设 的 基本 流程 和 步骤 如 下 : 

(1) 建立 灾难 备份 专门 机 构 。 

实施 灾难 备份 应 由 董事 会 或 高 级 管理 层 决策 ,指定 高 层 管理 人 员 组 织 实施 。 由 科技 、 业 
务 、 财 务 后勤 支 持 等 与 灾难 备份 相关 的 部 门 组 成 专门 机 构 ,主要 职责 包括 分 析 灾 难 备份 需 
求 ,制定 灾难 备份 方案 ; 确定 工程 预算 ,监督 工程 实施 ; 明确 各 部 门 的 职责 ,协调 各 部 门 关 
系 ; 对 灾难 恢复 计划 定期 进行 测试 和 评估 ; 对 测试 和 评估 的 结果 进行 审核 和 存档 并 做 出 相 
应 的 改进 。 

(2) 分 析 灾 难 备份 需求 。 

重要 信息 系统 灾难 备份 需求 分 析 应 包括 对 数据 处 理 中 心 的 风险 分 析 和 对 重要 信息 系统 
的 业务 分 析 , 以 确定 灾难 恢复 目标 。 数 据 处 理 中 心 风险 分 析 的 内 容 包 括 分 析 数 据 处 理 中 心 
的 风险 ,如 物理 安全 ,数据 安全 ,人 为 因素 ,已 有 的 备份 和 恢复 系统 .基础 设施 脆弱 点 ,数据 处 
理 中 心 位 置 ,关键 技术 点 等 ; 明确 防范 风险 的 技术 与 管理 手段 ; 确定 需要 采取 灾难 恢复 的 
类 型 ,如 灾难 备份 中 心 的 距离 ,数据 备份 方式 和 频率 等 。 业 务 分 析 的 内 容 包括 各 项 业务 停业 
将 造成 的 损失 , 须 考 虑 流失 客户 、 损 失 营 业 额 .企业 形象 法律 纠纷 .社会 安定 因素 等 ; 每 项 
业务 停顿 的 最 大 容忍 时 间 ; 各 项 业务 的 恢复 优先 级 ; 各 项 业务 的 相关 性 ; 可 接受 的 交易 丢 
失 程度 。 灾 难 恢复 目标 主要 有 确定 恢复 业务 品种 范围 及 优先 级 、 确 定 灾难 备份 中 心 及 服务 
界面 的 恢复 时 限 、 确 定 需要 恢复 的 服务 网 点 和 服务 渠道 。 

(3) 制定 灾难 备份 方案 。 

灾难 备份 方案 分 为 多 个 等 级 。 一 个 完整 的 灾难 备份 方案 的 设计 基于 灾难 备份 需求 分 析 
所 得 出 的 各 业务 系统 灾难 恢复 目标 , 它 可 能 涉及 多 个 级 别 的 应 用 ,并 且 需 要 考虑 技术 手段 、 
投资 成 本 ,管理 方式 等 多 方面 因素 ,主要 内 容 包 括 : 

@ 数据 备份 方案 。 

根据 灾难 备份 需求 分 析 所 确定 的 业务 恢复 时 间 和 交易 丢失 程度 确定 对 数据 备份 的 要 
求 ,按照 应 用 的 重要 级 别 、 最 大 停顿 时 间 ,数据 传输 量 、 最 大 数据 丢失 度 .数据 相关 性 .应 用 相 
关 性 等 确定 数据 备份 的 方案 。 

@ 备份 处 理 系统 。 

灾难 备份 应 根据 重要 信息 系统 灾难 备份 需求 配置 相应 的 备份 处 理 系统 。 根 据 数据 备份 
方案 确定 相应 的 数据 备份 所 需 的 主机 存储、 网 络 、 系 统 、 软 件 等 ; 根据 灾难 恢复 应 用 对 主机 
系统 .磁盘 系统 .磁带 备 份 .打印 及 外 围 设备 的 需求 确定 硬件 配置 ; 根据 服务 界面 的 范围 . 备 
份 网 络 拓扑 结构 、 网 络 传输 速率 需求 、 网 络 切换 方式 、 网 络 恢复 时 间 要 求 以 及 本 地 的 网 络 通 
信 状 况 确定 网 络 配置 。 
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Q@ 灾难 备份 中 心 建设 。 

灾难 备份 中 心 是 配备 各 种 资源 用 以 在 灾难 发 生 时 接替 数据 处 理 中 心 运行 的 计算 机 处 理 
中 心 ,重要 信息 系统 可 采用 自行 建设 .联合 建设 和 租用 商业 化 灾难 备份 中 心 的 模式 。 

@ 规程 与 管理 制度 。 

重要 信息 系统 需要 制定 有 关 灾 难 备份 与 灾难 恢复 的 各 项 规程 和 管理 制度 ,同时 修改 数 
据 处 理 中 心 原 有 规程 和 管理 制度 以 确保 灾难 恢复 的 成 功 ,这 些 规程 和 制度 包括 数据 备份 日 
常 管理 制度 、 备 份 数据 保存 制度 、 灾 难 备份 切换 流程 灾难 备份 系统 变更 管理 规程 以 及 人 力 
资源 规程 等 。 

(4) 实施 灾难 备份 方案 。 

实施 灾难 备份 方案 的 主要 目标 是 按照 所 制定 的 灾难 备份 方案 ,完成 灾难 备份 工作 。 实 
施 过 程 中 ,要 严格 按照 灾难 备份 方案 的 要 求 和 内 容 进 行 ,要 落实 相应 的 规章 制度 ,要 应 用 灾 
难 备 份 方 案 , 建 设 并 运行 灾难 备份 中 心 。 

(5) 制定 灾难 恢复 计划 。 

制定 灾难 恢复 计划 的 主要 目的 是 规范 灾难 恢复 流程 ,使 重要 信息 系统 在 灾难 发 生 后 能 
够 快速 地 恢复 数据 处 理 系 统 运行 和 业务 运作 ; 同时 重要 信息 系统 可 以 根据 灾难 恢复 计划 对 
其 数据 处 理 中 心 的 灾难 恢复 能 力 进 行 测试 ,并 将 灾难 恢复 计划 作为 相关 人 员 的 培训 资料 
之 一 。 

(6) 保持 灾难 恢复 计划 持续 可 用 。 

在 灾难 恢复 计划 制定 后 ,为 保证 计划 的 可 用 性 和 完整 性 ,需要 制定 变更 管理 流程 、 定 其 
审核 制度 和 定期 演练 制度 。 

@ 工作 底稿 。 

对 重要 信息 系统 现 有 的 数据 处 理 中 心 信 息 处 理 系统 配置 .恢复 时 间 .恢复 范围 等 进行 确 
定 以 形成 工作 底稿 ,详细 列 明 数 据 处 理 中 心 需 要 进行 灾难 备份 的 主机 、 附 属 设备 .系统 软件 、 
数据 库 软 件 . 应 用 软件 ,网络 设 备 配置 清单 ; 同时 列 明 数据 处 理 中 心服 务 对 象 的 终端 设备 、 
网 络 及 附属 设备 的 硬件 配置 .系统 版 本 和 应 用 软件 清单 。 

@ 变更 流程 。 

重要 信息 系统 应 建立 变更 机 制 以 控制 数据 处 理 中 心 和 灾难 备份 中 心 的 变更 ,所 有 的 变 
更 对 灾难 恢复 计划 的 影响 均 应 得 到 评估 。 这 些 变更 包括 操作 系统 变化 .新 增 应 用 软件 、 硬 件 
配置 更 改 、 网 络 配置 或 路 由 更 改 等 。 因 此 ,必须 要 制定 完善 的 变更 管理 流程 ,保证 灾难 恢复 
计划 的 修改 与 变更 事项 同步 进行 。 

@ 维护 和 评估 。 

灾难 恢复 计划 需要 由 各 相关 部 门 定期 进行 审核 和 更 新 以 保证 其 完整 和 有 效 , 灾 难 应 变 
小 组 负责 人 负责 组 织 审核 工作 ,各 相关 部 门 参 与 。 内 部 审核 工作 应 至 少 每 六 个 月 进行 一 次 ， 
审核 的 结果 应 报 主管 领导 ,并 对 不 足 之 处 加 以 改善 。 外 部 审计 机 构 可 以 接受 主管 部 门 委托 ， 
对 重要 信息 系统 的 内 部 控制 状况 进行 审计 ,也 可 以 接受 聘请 对 重要 信息 系统 的 内 部 控制 做 


出 审计 评价 ; 外 部 审计 机 构 发 现 重 要 信息 系统 内 部 控制 的 问题 和 缺陷 ,应 当 及 时 向 主管 部 
门 报告 。 
@ 测试 和 演练 。 


灾难 恢复 计划 常常 因为 错误 的 假设 .疏忽 或 设备 及 人 员 的 变更 而 不 可 用 ,因此 需要 经 常 
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的 测试 以 保证 其 及 时 和 有 效 。 测 试 的 另 一 目的 是 让 灾难 恢复 队伍 和 有 关 的 人 员 熟 悉 灾难 恢 
复 计划 。 

灾难 备份 是 灾难 恢复 的 基础 ,是 围绕 着 灾难 恢复 所 进行 的 各 类 备份 工作 ,灾难 恢复 不 仅 
包含 灾难 备份 ,更 注重 的 是 业务 恢复 。 


7.5.3 灾难 恢复 方案 的 选择 


灾难 恢复 是 一 个 复杂 而 艰难 的 过 程 , 同 时 也 是 一 个 耗资 巨大 的 项 目 , 因 此 ,在 利益 最 大 
化 的 考虑 之 下 ,选择 最 优 的 灾难 恢复 方案 就 显得 尤其 重要 。IBM 公司 认为 所 有 的 灾难 恢复 
方案 都 必须 考虑 5 大 因素 , 即 灾难 覆盖 面 恢复 速度 .恢复 程度 .可 用 的 技术 及 方案 总 成 本 。 
综 上 所 述 ,可 以 用 图 7. 3 表示 。 


恢复 的 完整 性 


7.3 灾难 恢复 方案 选择 标准 


根据 国际 标准 SHARE78 的 定义 ,灾难 恢复 解决 方案 可 以 根据 系统 恢复 各 方面 所 要 达 
到 的 程度 分 为 7 个 等 级 , 即 从 低 到 高 有 7 种 不 同 层 次 的 灾难 恢复 解决 方案 , 详 见 表 7.1。 可 
以 根据 系统 数据 的 重要 性 以 及 所 需要 恢复 的 速度 和 程度 ,来 设计 选择 并 实现 所 需要 的 灾难 
恢复 计划 。 

在 选择 灾难 恢复 解决 方案 时 ,非常 重要 的 一 点 是 解决 方案 所 需 的 投资 在 IT 商业 价值 
中 应 占 切 实 可 行 的 部 分 ,希望 用 较 少 的 投资 换取 更 多 的 利益 一 一 灾难 恢复 解决 方案 的 投资 
一 定 要 少 于 灾难 本 身 带 来 的 财政 损失 。 

按照 下 面 的 4 个 关键 目标 ,为 一 个 企业 选择 解决 方案 时 ,就 更 容易 做 出 决定 。 

1. 恢复 时 间 目 标 (RTO) 

RTO 是 指 在 灾难 发 生 后 ,从 系统 业务 停顿 之 刻 开 始 ,到 系统 业务 恢复 运营 之 时 ,此 两 点 
之 间 的 时 间 段 。RTO 代表 了 系统 的 恢复 能 力 , 一 般 来 说 RTO 越 短 ,由 灾难 造成 的 业务 损 
失 就 越 小 ,而 灾难 恢复 方案 的 成 本 就 越 高 ; 反之 ,RTO 越 长 ,由 灾难 造成 的 业务 损失 就 越 
大 ,而 灾难 恢复 方案 的 成 本 就 越 低 。 恢 复 成 本 与 恢复 时 间 的 关系 如 图 7.4 所 示 。 对 一 个 确 
定 的 RTO 支持 程度 可 以 用 来 衡量 业务 连续 性 技术 较 好 ,反之 较 低 。 

2. 恢复 时 间 点 目标 (RPO) 

RPO 是 指 一 个 过 去 的 时 间 点 , 当 灾难 或 紧急 事件 发 生 时 ,数据 可 以 恢复 到 的 时 间 点 ， 
RPO 代表 了 业务 所 能 容忍 的 数据 丢失 量 。 一 般 来 说 恢复 时 间 点 目标 RPO 越 高 ,丢失 的 数 
据 量 就 越 少 ,灾难 造成 的 业务 损失 就 越 小 ,而 灾难 恢复 方案 的 成 本 就 越 高 ; 反之 ,恢复 时 间 
点 目标 RPO 越 低 ,丢失 的 数据 量 越 多 ,灾难 造成 的 业务 损失 越 大 ,而 灾难 恢复 方案 的 成 本 则 
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越 低 。 恢 复 时 间 和 数据 丢失 造成 的 损失 的 关系 如 图 7.5 所 示 。 


禾 业 
成 间 

恢复 柯 商 恢复 时 间 
图 7.4 恢复 成 本 和 恢复 时 间 的 关系 图 7.5 企业 损失 和 恢复 时 间 的 关系 


3. 降级 操作 目标 (Degraded Operations Objective, DOO) 

灾难 恢复 不 仅仅 考虑 RTO 和 RPO, 还 考虑 降级 操作 时 间 。 降 级 操作 目标 DOO 是 指 在 
恢复 完成 后 到 防止 第 二 次 灾难 的 所 有 保护 恢复 以 前 的 时 间 。 在 只 有 一 个 数据 中 心 和 一 个 备 
份 中 心 的 情况 下 , 当 灾 难 发 生 时 ,业务 切换 到 备份 中 心 ,要 尽快 恢复 和 重建 数据 中 心 ,减少 降 
级 操作 时 间 。 

4. 网 络 恢复 目标 (Network Recovery objective, NRO) 

NRO 即 网 络 切换 所 需要 的 时 间 。 

恢复 方案 一 定 是 在 全 面 衡量 了 实施 费用 、 维 护 费 用 、 灾 难 对 财政 的 影响 ,并 对 业务 影响 
进行 了 分 析 后 而 得 出 的 一 个 综合 方案 。 

每 一 层 灾 难 恢复 方案 的 恢复 时 间 通 常 是 指 恢 复 处 理 业务 服务 所 需 的 安装 时 间 。 然 而 在 
现实 的 灾难 中 ,需要 对 其 他 更 多 的 事项 进行 考虑 。 例 如 ,有 些 业务 可 以 容忍 较 长 时 间 的 停机 
服务 ,但 要 求 一 旦 业务 开始 就 需要 使 用 最 多 的 实时 数据 ; 有 些 业务 必须 在 尽 可 能 短 的 时 间 
内 恢复 服务 ,而 不 考虑 数据 的 实时 性 ; 还 有 一 些 既 需要 在 最 短 的 时 间 内 恢复 服务 ,也 需要 最 
多 的 实时 数据 。 

通过 评估 具体 场地 的 实际 灾难 恢复 需求 ,为 恢复 计划 开 好 头 。 灾 难 恢复 方案 的 成 本 是 
根据 客户 需要 在 多 快 的 时 间 内 恢复 数据 以 及 业务 处 理 服务 中 断 将 带 来 的 损失 这 两 点 得 出 
的 。 恢 复数 据 所 需 的 时 间 越 少 ,业务 处 理 服务 中 断 的 时 间 就 越 短 ,所 需 的 方案 成 本 就 越 高 。 
另 一 方面 ,业务 处 理 中 断 的 时 间 越 长 ,由 此 带 来 的 损失 就 越 大 。 最 优 的 方案 就 是 ,方案 成 本 
曲线 和 业务 停止 带 来 的 损失 的 曲线 的 交集 一 一 成 本 一 时 间 窗 口 。 如 图 7.6 所 示 。 


7.5.4 成 本 效益 分 析 


所 谓 成 本 效益 分 析 就 是 将 投资 中 可 能 产生 的 成 本 与 效益 归纳 起 来 ,利用 定量 或 定性 的 
分 析 方 法 计算 成 本 和 效益 的 比值 ,从 而 判断 该 投资 项 目 是 否 可 行 。 成 本 效益 是 一 个 矛盾 的 
统一 体 , 二 者 互 为 条 件 、. 相 伴 共存 又 互相 矛盾 .此 增 披 减 。 从 事物 发 展 规律 来 看 ,任何 事情 都 
存在 成 本 效益 。 成 本 大 致 可 划分 为 两 个 层次 : 一 个 是 直接 的 有 形 的 成 本 ; 另 一 个 是 间接 的 
无 形 的 成 本 。 效 益 也 包含 两 个 层次 : 一 个 是 直接 的 有 形 的 效益 , 另 一 个 是 间接 的 无 形 的 
效益 。 
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时 商 
7.6 灾难 恢复 成 本 一 时 间 窗 口 图 


例如 , 某 公 司 要 购买 一 批 新 车 ,希望 这 些 车 辆 能 给 更 多 的 顾客 ,以 更 快 的 速度 运送 更 多 
的 货物 。 关 键 的 问题 是 这 笔 投 资 将 增加 多 少 利润 ,借助 传统 的 财务 方法 ,有 关 部 门 可 以 进行 
相当 精确 的 预测 ,包括 一 次 性 购买 成 本 、 每 年 新 增 的 人 员 开 支 , 每 年 新 增 的 维护 费用 、 每 年 新 
增 的 折旧 和 每 年 新 增 的 预期 收入 等 。 可 以 据 此 计算 出 每 年 的 投资 回报 率 以 及 收回 投资 的 时 
间 等 。 如 果 需 要 ,还 可 以 评价 同样 的 投资 在 银行 .股票 或 者 其 他 投资 项 目 中 的 回报 测算 ,并 
最 终 给 出 投资 评估 的 建议 ,这 样 就 更 容易 通过 预算 审查 。 然 而 ,IT 投资 却 没 这 么 简单 。 很 
少 有 CIO 能 对 IT 投资 给 出 类 似 的 数据 。 

Alinean 顾问 公司 总 裁 兼 CEO、 评 估 顾 问 Thomas Pisello 说 :“ 在 今天 的 经 济 环 境 下 ， 
CIO 承受 着 巨大 的 压力 。 他 们 要 说 明 预 算 的 合理 性 ,还 要 对 那些 并 不 明显 的 回报 进行 评 
估 。” 让 IT 价值 显现 出 来 ,需要 一 种 合理 的 评估 方法 ,把 IT 投资 对 单位 的 财务 贡献 识别 出 
来 。 采 用 过 评估 方法 的 CIO 们 说 ,IT 评估 模型 可 以 帮助 他 们 在 IT 和 商业 战略 之 间 、 技 术 
驱动 和 股东 价值 之 间 建 立 直观 的 联系 ,而 且 方 便 和 CFO 的 沟通 。 这 样 ,可 以 帮助 他 们 最 终 
获得 更 多 的 IT 投资 ,并 且 花 在 更 有 价值 的 地 方 。 

1. 成 本 效益 分 析 的 方法 

灾难 恢复 是 系统 建设 的 重要 组 成 部 分 ,通常 以 项 目的 方式 进行 。 我 们 可 以 按照 项 目 管 
理 的 成 本 效益 分 析 方 法 对 灾难 恢复 建设 进行 成 本 效益 分 析 。 但 是 灾难 恢复 建设 又 有 自己 的 
特点 ,信息 系统 灾难 恢复 建设 内 容 包 含 灾难 备份 系统 ` 支 持 维护 体系 和 灾难 恢复 管理 制度 
等 , 它 比 通常 的 信息 系统 建设 更 为 全 面 。 灾 难 恢复 建设 的 价值 实现 是 在 灾难 发 生 时 体现 的 ， 
具体 的 体现 时 间 是 不 确定 的 ,这 和 绝 大 部 分 信息 系统 建设 项 目 从 投产 时 就 产生 效益 有 较 大 
的 区 别 。 因 此 ,对 于 灾难 恢复 建设 的 效益 分 析 也 与 通常 的 信息 系统 建设 有 很 大 的 不 同 。 

传统 成 本 效益 分 析 中 通常 只 需要 分 析 成 本 和 收益 ,在 新 的 成 本 效益 分 析 体系 中 ,加 入 了 
对 项 目 风险 的 关注 。 

项 目 效益 一 收益 一 成 本 
项 目 效 益 一 (收益 一 成 本 ) 关 风 险 系数 (成 功 概率 ) 
通过 成 本 效益 分 析 , 可 以 在 不 同 的 方案 中 进行 比较 和 选择 ,选择 对 单位 最 有 利 的 投资 
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方案 。 

在 信息 技术 系统 项 目 中 ,常用 的 成 本 效益 分 析 方法 可 以 划分 为 3 类 : 传统 财务 方法 、 定 
性 方法 (也 叫 启发 式 方法 ) 和 概率 方法 。 不 管 采用 哪 种 方法 ,评估 的 最 终 目 的 是 唯一 的 , 即 在 
IT 投资 和 单位 僵 利 之 间 建 立 直接 的 关联 。 

传统 财务 方法 是 成 本 效益 分 析 中 历史 最 悠久 也 是 最 常用 的 一 类 分 析 方 法 , 它 脱胎 于 投 
资 项 目 分 析 , 将 IT 项 目 作为 一 种 投资 来 分 析 成 本 的 构成 和 效益 的 产 出 ,计算 具体 的 量 值 并 
依 此 给 出 比较 结果 。 方 法 间 的 不 同 之 处 在 于 对 成 本 、 效 益 和 项 目 风险 的 估算 方式 。 在 信息 
技术 领域 比较 常用 的 是 总 体 拥有 成 本 (TCO)。TCO 方法 的 主要 优点 是 不 单纯 评估 项 目的 
静态 成 本 ,同时 考虑 整个 产品 服务 生存 周期 内 的 所 有 费用 ,不 仅 包括 开发 .采购 、 运 输 、 安 装 
和 调试 的 显 性 成 本 ,还 包括 修理 ,维护 和 操作 人 员 等 可 能 发 生 的 隐 性 成 本 。 对 那些 喜欢 
TCO 方 法“ 铁 面 无 私 "特点 的 技术 经 理 们 ,TCO 已 经 成 为 他 们 生活 的 重要 内 容 。TCO 在 现 
行 成 本 对 比分 析 方 面 很 出 色 ,是 评估 和 控制 IT 开销 的 良好 手段 。 但 是 ,TCO 不 能 评估 风 
险 , 也 不 能 就 如 何 把 技术 与 战略 ,竞争 性 商业 目标 结合 起 来 提供 指导 。 

定性 方法 有 时 被 称 为 启发 式 方法 , 旨 在 用 主观 的 、 定 性 的 指标 评价 人 员 和 流程 的 价值 ， 
对 定量 方法 是 有 益 的 补充 。 对 于 大 部 分 单位 而 言 ,信息 技术 系统 的 投入 不 能 带 来 直接 的 经 
济 利益 ,而 传统 财务 方法 往往 很 难 精确 衡量 收益 部 分 ,可 采用 主观 评价 体系 ,通过 记分 卡 、 配 
比 组 合 和 综合 评价 等 方式 对 收益 和 风险 进行 综合 评价 。 

概率 论 方法 运用 统计 和 数学 模型 测量 一 定 概率 范围 内 的 风险 。 概 率 论 方法 对 于 希望 得 
到 量化 结果 的 用 户 是 很 具有 吸引 力 的 。 它 通过 运用 统计 样本 和 数学 模型 计算 隐 性 收益 和 风 
险 , 为 使 用 者 提供 较 精确 的 数量 结果 。 但 是 ,概率 论 方法 必须 得 到 统计 样本 和 数学 模型 的 支 
持 ,而 对 于 特定 的 单位 而 言 , 要 得 到 一 个 可 用 的 较 精 确 的 结果 ,统计 样本 和 数学 模型 都 必须 
定制 ,除了 对 于 专业 技能 的 要 求 外 ,无 论 从 时 间 上 还 是 成 本 上 都 是 相当 可 观 的 ,这 限制 了 概 
率 论 方法 的 运用 。 

到 底 应 该 选择 哪 种 价值 评估 方法 ,评估 者 除了 考虑 方法 本 身 的 特点 外 ,还 应 当 考虑 评估 
者 自己 以 及 单位 运作 方式 的 影响 。 

下 面 对 灾难 恢复 成 本 分 析 进 行 说 明 。 

(1) 灾难 恢复 成 本 = 恢复 速度 X 恢 复 的 完整 性 Xx 防范 风险 的 范围 和 等 级 。 

其 中 ,恢复 速度 是 指 在 业务 发 生 中 断后 重新 恢复 并 提供 相关 服务 所 需 的 时 间 , 一 般 以 
RTO 表示 ,恢复 速度 越 快 ,所 需 成 本 越 高 。 恢 复 的 完整 性 包括 恢复 功能 的 完整 性 、 恢 复数 据 
的 完整 性 和 恢复 能 力 的 完整 性 。 恢 复 的 功能 越 完 整 ,恢复 过 程 中 数据 丢失 越 少 ,恢复 后 的 处 
理 能 力 越 大 , 则 成 本 越 高 。 防 范 风险 覆盖 的 范围 越 大 ,风险 类 别 越 多 ,防范 风险 等 级 越 高 , 则 
成 本 越 高 。 

(2) 灾难 恢复 成 本 效益 合理 区 间 。 

在 灾难 发 生 时 ,业务 中 断 所 造成 的 损失 是 一 个 与 时 间 有 关 的 变量 ,如 图 7. 6 所 示 。 随 着 
业务 中 断 时 间 的 延长 ,损失 大 小 呈 指 数 曲线 上 升 。 根 据 国 外 的 统计 数字 ,一 个 单位 如 果 发 生 
业务 中 断 超过 14 天 ,那么 它 会 在 一 年 后 倒闭 的 可 能 性 有 70%。 而 恢复 成 本 却 随 着 恢复 时 
间 指 标 要 求 的 下 降 而 旦 指数 曲线 下 降 。 在 这 两 条 曲线 的 交叉 点 附近 就 是 所 要 追求 的 恢复 时 
间 目 标 , 即 恢复 成 本 的 合理 区 间 。 人 恢复 成 本 的 合理 区 间 就 是 图 7.6 中 的 成 本 时 间 窗 口 。 

这 两 个 灾难 风险 的 成 本 效益 分 析 模 型 包含 的 因素 并 不 完整 ,具体 的 参数 和 曲线 也 很 难 
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量化 ,但 是 为 方案 选择 和 合理 性 可 行 性 分 析 提 供 了 一 个 可 以 借鉴 的 方法 。 

综 上 所 述 ,成 本 效益 分 析 中 包括 成 本 ,效益 和 风险 3 个 重要 因素 ,前 面 介绍 的 几 种 成 本 
效益 分 析 的 方法 ,在 成 本 ,效益 和 风险 的 分 析 过 程 中 各 有 特点 ,没有 哪 一 种 方法 是 最 好 的 ,应 
该 根据 实际 的 情况 选择 最 合适 的 方法 。 

2. 成 本 效益 分 析 的 内 容 

在 分 析 灾 难 恢复 项 目 建设 的 成 本 效益 时 ,应 该 关注 以 下 几 个 方面 。 

1) 成 本 

在 进行 成 本 分 析 时 ,可 以 借鉴 总 体 拥有 成 本 的 方法 。IT 环境 日 益 增长 的 复杂 程度 使 得 
TCO 模型 面向 的 是 一 个 由 分 布 式 的 计算 .服务 台 应 用 解决 方案 .数据 网 络 .语音 通信 、 运 营 
中 心 以 及 电子 商务 等 构成 的 IT 环境 。TCO 同时 也 度量 这 些 设 备 成 本 之 外 的 因素 ,如 IT 员 
工 的 比例 .特定 活动 的 员工 成 本 和 信息 系统 绩效 指标 等 ,终端 用 户 满意 程度 的 调查 也 经 常 被 
包含 在 TCO 的 标杆 之 中 。 这 些 指标 不 仅 支持 财务 上 的 管理 ,同时 也 对 其 他 与 服务 质量 相 
关 的 改进 目标 进行 合理 性 考察 和 度量 。 在 大 多 数 TCO 模型 中 ,以 下 度量 指标 中 的 基本 要 
素 是 相同 的 。 

(1) 直接 成 本 ,包含 在 传统 的 IT 预算 中 ,包括 软 硬 件 .和 运营、 管理 等 。 

(2) 间接 成 本 ,由 IT 用 户 产生 的 成 本 ,包括 宕 机 时 间 终端 用 户 运营 等 。 

通过 TCO 的 分 析 可 以 发 现 ,IT 的 真实 成 本 平均 超出 购置 成 本 的 5 倍 之 多 ,其 中 大 多 数 
的 成 本 并 非 与 技术 相关 ,而 是 发 生 在 持续 进行 的 服务 管理 的 过 程 中 。TCO 会 产生 一 个 与 单 
位 成 本 相关 的 由 货币 度量 的 数值 。 许 多 单位 希望 能 将 自己 的 成 本 信息 与 其 他 同类 单位 进行 比 
较 。 事 实 上 ,这 些 数据 只 有 当 被 用 来 与 其 他 在 TCO 方面 作为 行业 标杆 的 单位 进行 比较 ,或 与 
本 单位 之 前 的 度量 结果 进行 比较 得 出 取得 进步 (或 退步 ) 的 结论 时 才能 发 挥 其 真正 的 作用 。 

灾难 恢复 项 目的 成 本 来 源 于 以 下 几 个 方面 。 

(1) 备用 基础 设施 建设 。 

作为 提供 灾难 恢复 服务 的 基础 设施 ,在 功能 区 划分 、 环 境 控 制 .安保 监控 、 电 力 保 障 、 通 
信保 障 和 地 理 位 置 选择 等 方面 都 有 较 高 的 要 求 。 不 论 是 采取 租用 还 是 自 建 方式 ,备用 基础 
设施 的 选择 ,建设 或 租赁 .装修 等 费用 都 是 必须 被 考虑 的 。 这 些 支出 基本 是 一 次 性 的 。 

(2) 数据 备份 系统 。 

数据 备份 系统 是 灾难 恢复 项 目的 核心 服务 内 容 , 是 保证 数据 安全 性 、 完 整 性 和 有 效 性 的 
关键 环节 。 相 关 的 存储 设备 .专用 网 络 设备 .主机 设备 备份 软 件 和 应 用 软件 等 的 设计 、 采 
购 .安装 、 集 成 和 培训 费用 也 是 灾难 恢复 项 目 成 本 必 不 可 少 的 一 个 组 成 部 分 。 这 些 支出 除了 
数据 复制 线路 的 租用 外 ,其 他 基本 上 是 一 次 性 的 。 

(3) 备份 数据 处 理 系统 。 

备份 数据 处 理 系统 是 在 灾难 发 生 后 ,灾难 备份 中 心 能 够 继续 提供 数据 处 理 服务 的 必要 
保证 。 根 据 灾 难 恢复 项 目的 建设 目标 的 不 同 , 备 份 数据 处 理 系统 建设 并 不 是 灾难 恢复 项 目 
必需 的 组 成 部 分 。 备 份 数据 处 理 系统 根据 目标 和 具体 应 用 体系 的 不 同 可 能 包含 主机 、 存 储 、 
专用 网 络 .系统 软件 和 应 用 软件 等 设备 。 这 些 费用 基本 上 是 一 次 性 的 。 

(4) 备用 网 络 系统 。 

备用 网 络 系统 主要 是 用 来 支持 在 生产 中 心 或 生产 网 络 发 生 故障 后 ,最 终 用 户 访问 灾难 
备份 中 心 或 生产 中 心 的 备用 网 络 。 备 用 网 络 系统 建设 包括 网 络 设备 .线路 铺设 .线路 租用 和 
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管理 软件 等 的 安装 、 集 成 和 培训 等 。 根 据 灾难 恢复 建设 的 需求 和 目标 的 不 同 ,可 能 不 包含 备 
用 网 络 系统 的 建设 。 其 中 设备 和 软件 的 采购 安装 费用 基本 上 是 一 次 性 的 ,但 是 备份 网 络 线 
路 的 租用 将 是 长 期 连续 性 的 。 

(5) 技术 支持 能 力 。 

灾难 恢复 系统 是 一 个 建设 门类 齐全 的 项 目 ,包含 了 基础 设施 工程 ,主机 和 网 络 等 各 种 硬 
件 , 备 份 管理 、 操 作 系统 .数据 库 和 应 用 系统 等 各 种 软件 。 保 障 这 些 基础 设施 和 软 硬 件 系统 
的 长 期 稳定 运行 ,长 期 可 靠 的 技术 支持 是 必 不 可 少 的 。 技 术 支 持 能 力 可 以 通过 购买 厂商 服 
务 的 方式 获得 ,也 可 以 通过 建立 技术 支持 团队 来 获取 ,更 多 的 情况 下 ,是 两 种 情况 的 综合 。 
不 论 采 取 什 么 方式 取得 长 期 可 靠 的 技术 支持 能 力 ,都 必然 需要 费用 上 的 付出 ,而 且 这 种 支出 
将 是 连续 性 的 。 

(6) 运行 维护 管理 。 

能 够 长 期 有 效 地 保证 对 生产 系统 的 恢复 功能 ,是 灾难 恢复 系统 的 基本 使 命 。 为 了 达到 
这 个 目标 ,灾难 恢复 系统 必须 有 一 个 高 效 .可 靠 的 运行 维护 体系 。 灾 难 恢复 系统 的 数据 要 与 
生产 系统 保持 一 致 ,在 生产 系统 发 生 技术 架构 调整 、 软 硬件 配置 调整 .应 用 系统 程序 变更 时 
灾难 恢复 系统 也 必须 做 出 相应 调整 。 作 为 一 套 长 期 处 于 运行 就 绪 状态 或 运行 准备 状态 的 系 
统 , 还 必须 对 运行 过 程 中 发 生 的 问题 进行 及 时 的 处 理 以 保证 灾难 恢复 系统 的 随时 可 用 。 专 
业 运行 维护 管理 人 员 须 提供 5X8 或 7X24 不 间断 的 服务 ,这 是 一 个 连续 性 的 成 本 投入 。 

(7) 灾难 恢复 预案 制定 。 

灾难 恢复 预案 是 根据 用 户 需 求 目 标 ,结合 已 经 制定 的 灾难 恢复 策略 ,在 灾难 发 生 时 具体 
指导 相关 人 员 执 行 恢复 动作 的 计划 。 灾 难 恢复 预案 的 制定 和 执行 跨越 了 从 主机 、 网 络 .存储 
到 电力 、 空 调和 消防 等 多 个 技术 学 科 ,跨越 了 从 单位 主管 .信息 技术 到 财务 后 勤 支持 等 多 个 
部 门 。 灾 难 恢复 预案 制定 的 本 身 就 是 一 个 复杂 的 系统 工程 ,必须 组 建 专门 的 团队 或 者 由 第 
三 方 的 专业 公司 提供 咨询 服务 。 同 时 ,灾难 恢复 预案 还 必须 随 着 单位 的 发 展 . 技 术 的 进步 、 
人 员 的 调整 .策略 的 改变 定期 或 不 定期 地 进行 更 新 调整 。 不 论 采 取 什 么 方式 ,投入 的 人 员 与 
时 间 也 是 灾难 恢复 项 目 必须 考虑 的 成 本 因素 。 

根据 以 上 分 析 可 采用 TCO 的 方式 ,全 面 考虑 一 次 性 投入 和 在 可 预期 的 时 间 内 的 连续 
性 投入 ,可 以 对 灾难 恢复 项 目 在 一 定时 间 周 期 内 的 成 本 构成 和 金额 得 出 较 可 靠 的 结论 。 

2) 效益 

在 成 本 效益 分 析 中 ,效益 的 构成 有 两 个 组 成 部 分 ,效益 三 成 本 的 减少 十 收益 的 增加 。 

在 灾难 恢复 项 目的 建设 过 程 中 ,效益 分 析 是 一 件 比较 困难 的 事情 。 首 先 ,效益 分 析 中 收 
益 的 增加 部 分 往往 是 难以 度量 的 预期 值 ,比如 单位 信用 度 的 提升 ,用户 忠 诚 度 的 提高 和 单位 
长 期 可 持续 发 展 能 力 的 提升 等 ,这 些 价 值 的 提升 往往 带 有 不 确定 性 ,具体 的 价值 也 很 难 量化 
估算 。 其 次 ,成 本 的 减少 效果 不 明显 ,从 显 性 的 效果 来 看 还 会 带 来 经 营 成 本 的 增加 (连续 性 
的 投入 ) 。 但 是 ,如 果 将 单位 的 业务 中 断 损 失 作为 成 本 的 一 个 组 成 部 分 ,那么 灾难 恢复 项 目 
能 够 带 来 的 损失 减少 的 效果 是 显而易见 的 。 在 数理 统计 中 ,有 一 条 重要 的 统计 规律 : 假设 
某 意 外 事件 在 一 次 实验 中 发 生 的 概率 为 PCP>0) , 则 在 守 次 实验 中 至 少 有 一 次 发 生 的 概率 
为 : P, 二 1 一 (一 P)"。 由 此 可 见 , 无 论 概率 PP 多么 小 , 当 n 越 来 越 大 时 ,P, 越 来 越 接 近 1， 
从 而 说 明 事故 将 来 必定 发 生 。 在 单位 长 期 风险 不 受 控制 的 情况 下 ,长 期 风险 损失 的 累积 爆 
发 完全 可 以 将 一 个 单位 拖 入 万 动 不 复 的 深渊 。 对 于 灾难 恢复 项 目 可 能 给 单位 带 来 的 收益 及 
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其 关键 性 程度 可 以 通过 业务 影响 分 析 得 出 。 

业务 影响 分 析 描 述 了 哪些 业务 对 于 单位 的 生存 至 关 重 要 ,这 些 业 务 能 够 容忍 多 大 程度 
的 中 断 或 停止 响应 以 及 发 生 中 断后 会 对 单位 造成 多 大 的 损失 等 。 通 过 这 些 描述 ,可 以 认识 
甚至 量化 单位 的 长 期 风险 损失 的 范围 .程度 和 概率 ,以 及 通过 灾难 恢复 项 目 可 以 在 多 大 程度 
上 避免 这 些 损失 。 

在 进行 业务 影响 分 析 的 时 候 必须 注意 ,对 于 业务 中 断 带 来 的 损失 的 大 小 和 范围 是 一 个 
和 中 断 时 间 相关 的 变数 。 随 着 业务 中 断 时 间 的 延长 ,业务 中 断 所 带 来 的 损失 呈 指 数 曲线 上 
升 , 当 业 务 中 断 时 间 超 过 某 个 阔 值 ,单位 将 面临 倒闭 的 风险 。 

3) 风险 

任何 项 目 都 存在 失败 的 风险 ,灾难 恢复 项 目 也 是 一 样 ,有 很 多 这 样 的 案例 可 以 证 明 。 对 
单位 需求 把 握 得 不 准确 ,对 风险 防范 范围 掌握 得 不 全 面 ,运行 维护 和 技术 支持 投入 力量 不 
足 , 备 份 恢复 技术 方案 存在 缺陷 ,没有 恢复 预案 或 者 没有 足够 的 演练 ,都 可 能 导致 在 灾难 性 
事件 真正 发 生 时 灾难 恢复 系统 不 能 起 到 应 有 的 作用 。 项 目 风 险 的 大 小 对 于 项 目 成 本 效益 分 
析 也 是 至 关 重 要 的 要 素 , 可 以 认为 : 项 目 真 实 成 本 = 项 目 可 见 成 本 X 风险 系数 。 风 险 系 数 
越 大 ,项 目的 真实 成 本 就 越 高 ,风险 系数 的 比较 对 于 不 同 项 目 实现 方式 的 成 本 效益 的 比较 分 
析 具 有 重要 的 参考 意义 。 

灾难 恢复 项 目的 风险 可 能 来 自 以 下 几 个 方面 。 

(1) 认 知 风险 。 

认 知 风险 是 对 项 目 威胁 最 大 的 风险 ,如 果 对 项 目的 需求 和 目标 发 生 认 知 错误 或 者 偏差 ， 
那么 整个 项 目 无 论 如 何 运 作 都 不 可 能 取得 最 后 的 成 功 。 在 灾难 恢复 的 建设 过 程 中 ,需求 分 
析 、 灾 难 恢复 策略 制定 阶段 是 可 能 存在 认 知 风险 最 大 的 阶段 。 借 鉴 其 他 机 构 或 者 专业 厂商 
提供 的 成 熟 经 验 和 方法 可 以 最 大 限度 地 减少 认 知 风险 。 

(2) 技术 风险 。 

在 开发 实施 阶段 ,应 尽量 选择 灾难 恢复 领域 中 成 熟 的 技术 、 产 品 和 技术 实现 方案 ,以 降 
低 可 能 的 技术 风险 。 灾 难 恢复 项 目 对 可 靠 性 的 要 求 极 高 ,是 整个 信息 系统 的 最 后 一 道 防线 。 
如 果 可 能 ,应 事先 进行 技术 和 设备 的 模拟 测试 ,将 技术 风险 减 至 最 低 。 

(3) 操作 风险 。 

在 项 目的 实施 阶段 ,应 保持 对 项 目的 控制 ,包括 成 本 控制 .计划 控制 和 质量 控制 ,及 时 发 
现 差异 .跟踪 差异 并 解决 差异 ,避免 项 目的 进度 和 质量 失控 而 威胁 项 目的 成 功 。 

(4) 外 部 风险 。 

灾难 恢复 .业务 连续 性 在 很 多 国家 都 已 经 形成 了 标准 规范 .行业 准 入 制度 甚至 是 国家 
法 律 的 要 求 。 灾 难 恢复 项 目的 建设 目标 和 成 果 必 须 符合 相关 的 规范 和 法 律 要求 ( 部 分 海外 
上 市 公司 应 同时 遵循 国外 的 相关 法 律 法 规 要 求 )。 在 项 目的 规划 期 间 充 分 了 解 所 在 地 ,本 行 
业 的 相关 法 律 法 规 要 求 也 是 灾难 恢复 项 目 避 免 外 部 风险 的 必要 举措 。 


7.5.5 灾难 恢复 过 程 


灾难 恢复 是 一 个 周而复始 .持续 改进 的 过 程 ,主要 包括 4 个 重要 阶段 。 
1. 灾难 恢复 需求 的 确定 
灾难 恢复 的 需求 分 析 一 般 从 以 下 几 个 方面 考虑 : 
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(1) 威胁 与 风险 。 

识别 信息 系统 面临 的 自然 的 和 人 为 的 威胁 ,识别 信息 系统 的 脆弱 性 ,分 析 各 种 威胁 发 生 
的 可 能 性 并 定量 或 定性 描述 可 能 造成 的 损失 ,识别 现 有 的 风险 防范 和 控制 措施 。 通 过 技术 
和 管理 手段 ,防范 或 控制 信息 系统 的 风险 。 依 据 防范 或 控制 风险 的 可 行 性 和 残余 风险 的 可 
接受 程度 ,确定 对 风险 的 防范 和 控制 措施 。 

(2) 资产 价值 : 标识 信息 系统 的 资产 价值 。 

(3) 业务 中 断 的 影响 。 

对 组 织 的 各 项 业务 功能 及 各 项 业务 功能 之 间 的 相关 性 进行 分 析 , 确 定 支持 各 种 业务 功 
能 的 相应 信息 系统 资源 及 其 他 资源 ,明确 相关 信息 的 保密 性 、 完 整 性 和 可 用 性 要 求 。 应 采用 
定量 或 定性 的 分 析 方 法 ,对 各 种 业务 功能 的 中 断 造 成 的 影响 进行 评估 。 其 中 ,定量 分 析 是 以 
量化 方法 ,评估 业务 功能 的 中 断 可 能 给 组 织带 来 的 直接 经 济 损失 和 间接 经 济 损失 ; 定性 分 
析 是 运用 归纳 与 演绎 、 分 析 与 综合 以 及 抽象 与 概括 等 方法 ,评估 业务 功能 的 中 断 可 能 给 组 织 
带 来 的 非 经 济 损失 ,包括 组 织 的 声誉 ,顾客 的 忠诚 度 、 员 工 的 信心 、 社 会 和 政治 影响 。 

(4) 业务 的 关键 性 、 时 效 性 。 

(5) 灾难 恢复 目标 的 确定 

根据 威胁 与 风险 分 析 和 业务 中 断 的 影响 ,确定 灾难 恢复 的 目标 ,包括 灾难 恢复 范围 、 系 
统 中 断 可 容忍 的 时 限 (恢复 点 目标 )、 系 统 多 和 久 能 恢复 (恢复 时 间 目 标 ) 以 及 各 项 业务 恢复 的 
优先 级 和 相关 性 等 。 

2. 灾难 恢复 策略 的 制定 

灾难 恢复 策略 是 一 个 单位 为 了 达到 灾难 恢复 的 需求 目标 而 采取 的 途径 , 它 包含 实现 的 
计划 ,方法 和 可 选 的 方案 。 灾 难 恢复 策略 是 指导 整个 灾难 恢复 建设 的 纲领 性 文件 ,描述 了 灾 
难 恢复 需求 的 实现 步骤 和 实现 方法 。 但 是 ,灾难 恢复 策略 不 等 同 于 具体 的 技术 方案 ,灾难 恢 
复 策略 的 制定 是 原则 性 、 方 向 性 的 。 

在 制定 灾难 恢复 策略 时 应 该 注意 可 行 性 分 析 , 可 行 性 包括 成 本 合理 性 .技术 手段 可 实现 
以 及 资源 可 获取 等 。 

灾难 恢复 策略 的 制定 包含 以 下 两 个 很 重要 的 要 素 : 

(1) 灾难 恢复 资源 要 素 。 

支持 灾难 恢复 各 个 等 级 所 需 的 资源 (以 下 简称 "灾难 恢复 资源 ”) 可 分 为 7 个 要 素 ( 详 见 
表 到 动 5 


表 7.2 灾难 恢复 资源 的 7 个 要 素 


要 素 组 ”成 
数据 备份 系统 硬件 .软件 .介质 
备用 数据 处 理 系统 备用 计算 机 、 外 设 、 软 件 
备用 网 络 系统 备用 通信 设备 、 线 路 
备用 基础 设施 场所 \ 组 织 \ 设 备 、 辅 助 设施 等 


专业 技术 支持 能 力 硬件 、 系 统 及 应 用 软件 分 析 处 理 能 力 及 管理 协调 能 力 
运行 维护 管理 能 力 对 运行 环境 系统、 安全 、 变 更 的 管理 能 力 


灾难 恢复 预案 组 织 管理 .应 急 响 应 ,恢复 与 继续 运行 .重建 及 回 退 、 预 案 的 保障 和 管理 
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(2) 成 本 效益 分 析 原 则 。 

根据 灾难 恢复 目标 ,按照 灾难 恢复 资源 的 成 本 与 风险 可 能 造成 的 损失 之 间 取 得 平衡 的 
原则 (以 下 简称 “成 本 风险 平衡 原则 ”) 确 定 每 项 关键 业务 功能 的 灾难 恢复 策略 ,不 同 的 业务 
功能 可 采用 不 同 的 灾难 恢复 策略 。 

灾难 恢复 策略 由 灾难 恢复 资源 的 获取 方式 和 灾难 恢复 能 力 等 级 组 成 。 其 中 灾难 恢复 次 
源 的 获取 方式 有 数据 备份 系统 、 备 用 数据 处 理 系 统 、 备 用 网 络 系统 、 备 用 基础 设施 、 专 业 技术 
支持 能 力 、 运 行 维护 管理 能 力 、 灾 难 恢复 预案 。 

另外 ,灾难 恢复 资源 的 要 求 包括 以 下 几 个 方面 ; 

(1) 数据 备份 系统 。 组 织 应 根据 灾难 恢复 目标 ,按照 成 本 风险 平衡 原则 ,确定 数据 备份 
的 范围 .数据 备份 的 时 间 间 隔 数据 备份 的 技术 及 介质 .数据 备份 线路 的 速率 及 相关 通信 设 
备 的 规格 和 要 求 。 

(2) 备用 数据 处 理 系统 。 组 织 应 根据 关键 业务 功能 的 灾难 恢复 对 备用 数据 处 理 系统 的 
要 求 和 未 来 发 展 的 需要 ,按照 成 本 风险 平衡 原则 ,确定 备用 数据 处 理 系统 的 数据 处 理 能 力 、 
与 主 系统 的 兼容 性 要 求 及 平时 处 于 就 绪 还 是 运行 状态 。 

(3) 备用 网 络 系统 。 组 织 应 根据 关键 业务 功能 的 灾难 恢复 对 网 络 容 量 及 切换 时 间 的 要 
求 和 未 来 发 展 的 需要 ,按照 成 本 风险 平衡 原则 ,选择 备用 数据 通信 的 技术 和 线路 带宽 ,确定 
网 络 通信 设备 的 功能 和 容量 ,保证 灾难 恢复 时 ,最 终 用 户 能 以 一 定 速率 连接 到 备用 数据 处 理 
系统 。 

(4) 备用 基础 设施 。 组 织 应 根据 灾难 恢复 目标 ,按照 成 本 风险 平衡 原则 ,确定 对 备用 基 
础 设施 的 要 求 ,包括 与 主 中 心 的 距离 要 求 .场地 和 环境 (如 面积 .温度 湿度、 防火 .电力 和 工 
作 时 间 等 ) 要 求 .运行 维护 和 管理 要 求 。 

(5) 技术 支持 能 力 。 组 织 应 根据 灾难 恢复 目标 ,按照 成 本 风险 平衡 原则 ,确定 灾难 备份 
中 心 在 软件 .硬件 和 网 络 等 方面 的 技术 支持 要 求 , 包 括 技术 支持 的 组 织 架构 .各 类 技术 支持 
人 员 的 数量 和 素质 等 要 求 。 

(6) 运行 维护 管理 能 力 。 组 织 应 根据 灾难 恢复 目标 ,按照 成 本 风险 平衡 原则 ,确定 灾难 
备份 中 心 运行 维护 管理 要 求 ,包括 运 行 维护 管理 组 织 架构 、 人 员 的 数量 和 素质 、 运 行 维护 管 
理 制度 等 要 求 。 

(7) 灾难 恢复 预案 。 组 织 应 根据 需求 分 析 的 结果 ,按照 成 本 风险 平衡 原则 ,明确 灾难 恢 
复 预案 的 整体 要 求 .制定 过 程 的 要 求 .教育 .培训 和 演练 要 求 以 及 管理 要 求 。 

3. 灾难 恢复 策略 的 实现 

1) 灾难 备份 系统 技术 方案 的 实现 

技术 方案 的 设计 : 根据 灾难 恢复 策略 制定 相应 的 灾难 备份 系统 技术 方案 ,包含 数据 备 
份 系统 .备用 数据 处 理 系统 和 备用 的 网 络 系统 。 技 术 方案 中 所 设计 的 系统 应 获得 同 主 系统 
相当 的 安全 保护 ,并 且 要 具有 可 扩展 性 。 

技术 方案 的 验证 .确认 和 系统 开发 : 为 确保 技术 方案 满足 灾难 恢复 策略 的 要 求 , 应 由 组 
织 的 相关 部 门 对 技术 方案 进行 确认 和 验证 ,并 记录 和 保存 验证 及 确认 的 结果 。 按 照 确认 的 
灾难 备份 系统 技术 方案 进行 开发 ,实现 所 要 求 的 数据 备份 系统 .备用 数据 处 理 系统 和 备用 网 
络 系统 。 

系统 安装 和 测试 , 按照 经 过 确认 的 技术 方案 ,灾难 恢复 规划 实施 小 组 应 制定 各 阶段 的 
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系统 安装 及 测试 计划 ,以 及 支持 不 同 关键 业务 功能 的 系统 安装 及 测试 计划 ,并 组 织 最 终 用 户 
共同 进行 测试 。 确 认 以 下 各 项 功能 的 正确 实现 : 
。 数据 备份 及 数据 恢复 功能 。 
。 在 限定 的 时 间 内 ,利用 备份 数据 正确 恢复 系统 、 应 用 软件 及 各 类 数据 ,并 可 正确 恢复 
各 项 关键 业务 功能 。 
。 客户 端 可 与 备用 数据 处 理 系统 正常 通信 。 
2) 灾难 备份 中 心 的 选择 和 建设 
选 址 原则 : 选择 或 建设 灾难 备份 中 心 时 ,应 根据 风险 分 析 的 结果 ,避免 灾难 备份 中 心 与 
主 中 心 同时 遭受 同类 风险 。 灾 难 备份 中 心 还 应 具有 方便 灾难 恢复 人 员 或 设备 到 达 的 交通 条 
件 , 以 及 数据 备份 和 灾难 恢复 所 需 的 通信 、 电 力 等 资源 。 灾 难 备份 中 心 应 根据 资源 共享 、 平 
战 结合 的 原则 ,合理 地 布局 。 
基础 设施 的 要 求 : 新 建 或 选用 灾难 备份 中 心 的 基础 设施 过 程 中 ,计算 机 机 房 应 符合 有 
关 国 家 标准 的 要 求 ,工作 辅助 设施 和 生活 设施 应 符合 灾难 恢复 目标 的 要 求 。 
3) 技术 支持 能 力 的 实现 
组 织 应 根据 灾难 恢复 策略 的 要 求 ,获取 对 灾难 备份 系统 的 技术 支持 能 力 。 灾 难 备份 中 
心 应 建立 相应 的 技术 支持 组 织 , 定 期 对 技术 支持 人 员 进 行 技能 培训 。 
4) 运行 维护 管理 能 力 的 实现 
为 了 达到 灾难 恢复 目标 ,灾难 备份 中 心 应 建立 各 种 操作 和 管理 制度 ,用 以 保证 数据 备份 
的 及 时 性 和 有 效 性 ,并 且 备 用 数据 处 理 系统 和 备用 网 络 系统 应 确保 处 于 正常 状态 ,并 与 主 系 
统 的 参数 保持 一 致 ,同时 要 保证 系统 具有 有 效 的 应 急 响应 .处 理 能 力 。 
5) 灾难 恢复 预案 的 实现 
灾难 恢复 的 每 个 等 级 均 应 按 具体 实现 要 求 制定 相应 的 灾难 恢复 预案 ,并 进行 落实 和 
管理 。 
4. 灾难 恢复 预案 的 制定 ,落实 和 管理 
1) 灾难 恢复 预案 的 制定 
(1) 制定 原则 。 
。 完整 性 : 包括 灾难 恢复 的 过 程 数据 和 资料 。 
。 易 用 性 : 恢复 计划 中 的 语言 .图 表 ( 适 于 紧急 情况 下 使 用 )。 
。 明确 性 : 灾难 恢复 的 资源 .内容 \ 步 又 并 明确 落实 到 人 。 
。 有 效 性 : 满足 灾难 恢复 需要 ,保持 系统 和 人 的 同步 更 新 。 
。 兼容 性 : 与 其 他 灾难 恢复 预案 体系 有 机 结合 。 
(2) 制定 过 程 。 
灾难 恢复 预案 制定 的 过 程 如 下 : 
。 起 草 。 参 照 灾难 恢复 预案 框架 ,按照 风险 分 析 和 业务 影响 分 析 所 确定 的 灾难 恢复 内 
容 ,根据 灾难 恢复 等 级 的 要 求 ,结合 组 织 其 他 相关 的 应 急 预 案 ,撰写 出 灾难 恢复 预案 
的 初稿 。 
。 评审 。 组 织 应 对 灾难 恢复 预案 初稿 的 完整 性 、. 易 用 性 .明确 性 有效 性 和 兼容 性 进行 
严格 的 评审 。 评 审 应 有 相应 的 流程 保证 。 
。 测试 。 应 预先 制定 测试 计划 ,在 计划 中 说 明 测 试 的 案例 。 测 试 应 包含 基本 单元 测 
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试 ,关联 测试 和 整体 测试 。 测 试 的 整个 过 程 应 有 详细 的 记录 ,并 形成 测试 报告 。 
。 修订 。 根据 评 审 和 测试 结果 ,对 预案 进行 修订 ,纠正 在 初稿 评审 过 程 和 测试 中 发 现 
的 问题 和 缺陷 ,形成 预案 的 报批 稿 。 
。 审核 和 批准 。 由 灾难 恢复 领导 小 组 对 报批 稿 进行 审核 和 批准 ,确定 为 预案 的 执 
行 稿 。 
2) 灾难 恢复 预案 的 教育 、 培 训 和 演练 
为 了 使 相关 人 员 了 解 信 息 系统 灾难 恢复 的 目标 和 流程 ,熟悉 灾难 恢复 的 操作 规程 ,组 织 
应 按 以 下 要 求 , 组 织 灾难 恢复 预案 的 教育 .培训 和 演练 ; 
。 在 灾难 恢复 规划 的 初期 就 应 开始 灾难 恢复 观念 的 宣传 教育 工作 。 
。 应 预先 对 培训 需求 进行 评估 ,开发 和 落实 相应 的 培训 或 教育 课程 ,保证 课程 内 容 与 
预案 的 要 求 相 一 致 。 
。 应 事先 确定 培训 的 频次 和 范围 ,事后 保留 培训 的 记录 。 
。 预先 制定 演练 计划 ,在 计划 中 说 明 演练 的 场景 。 
演练 的 整个 过 程 应 有 详细 的 记录 ,并 形成 报告 。 
每 年 应 至 少 完成 一 次 有 最 终 用 户 参 与 的 完全 演练 。 
3) 灾难 恢复 预案 的 管理 
保存 与 分 发 一 一 经 过 审核 和 批准 的 灾难 恢复 预案 ,应 : 
。 由 专人 负责 保存 与 分 发 。 
。 具有 多 份 副本 在 不 同 的 地 点 保存 。 
。 分 发 给 参与 灾难 恢复 工作 的 所 有 人 员 。 
。 在 每 次 修订 后 所 有 副本 统一 更 新 ,并 保留 一 套 , 以 备查 阅 , 原 分 发 的 旧版 本 应 予 


销毁 。 
维护 和 变更 管理 一 一 为 了 保证 灾难 恢复 预案 的 有 效 性 ,应 从 以 下 方面 对 灾难 恢复 预案 
进行 严格 的 维护 和 变更 管理 : 


。 业务 流程 的 变化 、 信 息 系统 的 变更 、 人 员 的 变更 都 应 在 灾难 恢复 预案 中 及 时 反映 。 

。 预案 在 测试 ,演练 和 灾难 发 生 后 实际 执行 时 ,其 过 程 均 应 有 详细 的 记录 ,并 应 对 测 
试 .演练 和 执行 的 效果 进行 评估 ,同时 对 预案 进行 相应 的 修订 。 

。 灾难 恢复 预案 应 定期 评审 和 修订 ,至 少 每 年 一 次 。 


7.6 安全 审计 


计算 机 技术 .电子 信息 技术 与 通信 技术 的 完美 结合 ,改变 了 人 类 的 生产 .生活 ,学习 及 娱 
乐 的 方式 ,继而 造就 了 一 个 新 的 时 代 一 一 信息 时 代 。 在 这 个 新 的 时 代 中 ,人 们 对 数字 信息 系 
统 的 依赖 程度 正 逐 渐 超 过 对 物理 世界 的 依赖 。 然 而 这 个 虚拟 的 世界 确实 十 分 脆弱 , 随 着 人 
们 对 它们 依赖 程度 的 增加 ,不 安全 感 也 随 之 增加 。 信 息 受 到 来 自 外 部 或 内 部 以 及 主动 或 被 
动 的 各 种 攻击 的 影响 ,对 系统 的 安全 性 要 求 也 逐步 提高 。 信 息 受 到 的 威胁 及 其 本 身 的 脆弱 
性 要 求 对 系统 安全 方案 中 的 功能 提供 持续 的 评估 ,这 就 是 安全 审计 。 

概括 来 说 ,安全 审计 应 当 具 备 以 下 几 项 功能 : 
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。 记录 关键 事件 。 

。 对 潜在 的 攻击 者 进行 威慑 或 警告 。 

。 为 系统 安全 管理 员 提 供 有 价值 的 系统 使 用 日 志 , 帮 助 管理 员 及 时 发 现 人 侵 行 为 和 安 

全 漏洞 ,帮助 安全 管理 员 对 系统 安全 进行 加 强 和 改进 。 
。 为 安全 官 提供 一 组 可 供 分 析 的 管理 数据 ,用 于 发 现 何 处 有 违反 安全 方案 的 事件 ,并 
可 以 根据 实际 情形 调整 安全 政策 。 

根据 审计 对 象 的 不 同 ,安全 审计 可 以 分 为 操作 系统 的 审计 、 应 用 系统 的 审计 、 设 备 的 审 
计 及 网 络 应 用 的 审计 。 通 常 ,审计 的 关键 部 位 有 对 来 自 外 部 攻击 的 审计 、 对 来 自 内 部 攻击 的 
审计 、 对 电子 数据 的 安全 审计 等 。 

美国 国家 标准 Trusted Computer System Evaluation Criteria 给 出 的 安全 审计 的 定义 
是 :“ 一 个 安全 的 系统 中 的 安全 审计 系统 ,是 对 系统 中 任 一 或 所 有 安全 相关 事件 进行 记录 、 
分 析 和 再 现 的 处 理 系 统 。 它 通过 对 一 些 重要 的 事件 进行 记录 ,从 而 在 系统 发 现 错误 或 受到 
攻击 时 能 定位 错误 和 找到 攻击 成 功 的 原因 ,并 且 是 事故 后 调查 取证 的 基础 ,当然 也 是 对 信息 
系统 的 信息 保证 。” 

可 以 看 出 ,信息 系统 安全 审计 是 对 系统 记录 和 活动 的 独立 评审 和 考核 ,以 测试 系统 控制 
的 充分 性 ,确保 与 既定 策略 和 操作 规程 相 一 致 ,有 助 于 对 入 侵 活动 进行 评估 ,并 指出 系统 控 
制 策 略 和 程序 的 变化 。 

安全 审计 机 制 是 一 种 很 有 价值 的 安全 管理 机 制 , 可 以 通过 事后 的 安全 审计 来 检测 和 调 
查 安 全 策略 执行 的 情况 以 及 安全 遭 到 破坏 的 情况 。 安 全 审计 机 制 是 一 种 事后 监督 机 制 ,用 
来 检查 用 户 行为 是 否 符合 安全 政策 ,帮助 发 现 系统 存在 的 安全 漏洞 及 安全 漏洞 可 能 被 利用 
的 方式 和 可 能 造成 的 后 果 ,最 后 根据 历史 记录 追查 系统 安全 破坏 者 的 责任 。 

安全 审计 机 制 主 要 应 实现 以 下 几 个 目标 : 

。 能 够 详细 记录 所 有 访问 行为 的 相关 数据 ,并 检查 安全 保护 机 制 的 实施 结果 。 

。 能 够 发 现任 何 具有 超越 自身 规定 权限 的 用 户 及 定位 其 越权 行为 。 

。 可 以 发 现 和 定位 用 户 为 越过 安全 机 制 而 进行 的 反复 性 尝试 行为 ,并 采取 相应 措施 。 

。 能 够 提供 证 据 以 表明 发 生 了 越过 系统 安全 机 制 的 行为 或 企图 。 

。 能 够 帮助 发 现 和 排除 系统 存在 的 安全 漏洞 。 

如 果 系 统 受 到 破坏 ,可 以 帮助 进行 损失 的 评估 和 系统 的 恢复 。 

安全 审计 需要 安全 报警 报告 功能 来 检测 出 安全 的 泄露 或 可 疑 事件 的 发 生 , 并 将 这 些 情 
况 报告 给 操作 员 或 管理 员 ; 安全 审计 需要 安全 审计 跟踪 中 与 安全 有 关 的 记录 信息 ,以 及 从 
安全 审计 跟踪 中 得 到 的 分 析 和 报告 信息 。 审 计 日 志和 记录 被 视 为 一 种 安全 机 制 , 而 分 析 和 
报告 则 被 视 为 一 种 安全 管理 功能 。 

安全 审计 工作 的 流程 是 : 收集 来 自 内 核 和 核 外 的 事件 ,根据 相应 的 审计 条 件 , 判 断 是 否 
是 审计 事件 。 对 审计 事件 的 内 容 按 日 志 的 模式 记录 到 审计 日 志 中 。 当 审计 事件 满足 报警 阀 
的 报警 值 时 , 则 向 审计 人 员 发 送 报警 信息 并 记录 其 内 容 。 当 事件 在 一 定时 间 内 连续 发 生 , 满 
足 逐 出 系统 阔 值 , 则 将 引起 该 事件 的 用 户 逐 出 系统 并 记录 其 内 容 。 审 计 人 员 可 以 查询 、 检 查 
审计 日 志 以 形成 审计 报告 。 检 查 的 内 容 包括 审计 事件 类 型 .事件 安全 级 .引用 事件 的 用 户 、 
报警 .指定 时 间 内 的 事件 以 及 恶意 用 户 表 等 。 
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7.6.1 安全 警报 


认证 访问 控制 ,机密 性 和 完整 性 等 这 些 安全 服务 都 是 为 了 防止 发 生 安全 泄露 。 然 而 ， 
不 能 保证 这 些 服务 总 能 够 正常 运行 。 由 于 各 种 攻击 行为 及 系统 本 身 的 脆弱 性 的 存在 ,系统 
总 是 会 有 安全 泄密 的 风险 。 因 此 ,需要 一 种 能 够 检测 出 安全 泄露 或 可 疑 事件 发 生 的 工具 。 
安全 警报 的 主要 功能 就 是 监督 可 疑 用 户 ,取消 可 疑 用 户 的 权限 ,调用 更 强 的 保护 机 制 , 去 掉 
或 修复 故障 网 络 或 系统 的 某 个 组 成 部 件 。 

从 安全 审计 的 定义 可 以 看 出 ,安全 审计 和 安全 警报 是 不 可 分 割 的 。 安 全 审计 由 各 级 安 
全 管理 机 构 实 施 并 管理 ,并 且 仅 仅 在 制定 的 安全 策略 范围 内 使 用 。 它 允许 对 安全 策略 的 充 
分 性 进行 评价 ,帮助 检测 安全 违规 行为 ,对 潜在 的 攻击 者 进行 威慑 或 警告 。 但 是 ,安全 审计 
不 直接 阻止 安全 违规 行为 。 安 全 警报 是 由 一 个 人 或 进程 发 出 的 警告 ,以 指示 发 生 了 异常 情 
况 ,可 能 需要 及 时 的 行动 。 安 全 报警 的 目的 是 报告 实际 的 或 明显 的 违背 安全 的 企图 ,报告 各 
种 安全 相关 的 事件 ,包括 “正常 "事件 以 及 报告 达到 一 定 门 限 后 触发 产生 的 事件 。 

一 个 与 安全 相关 的 事件 会 触发 一 个 安全 警报 ,原理 上 ,任何 网 络 或 系统 部 件 都 能 够 检测 
出 该 事件 。 在 管理 模型 中 , 检测 事件 的 部 件 是 受 管 对 象 。 安 全 警报 通过 M-EVENT- 
REPORT 通知 给 管理 系统 。 

安全 警报 报告 功能 标准 (ISO/IEC 10164-1) 描 述 了 M-EVENT-REPORT 调用 中 所 传 
递 的 信息 。 受 管 信息 定义 (ISO/IEC 10165-2) 中 详细 说 明了 交换 中 所 使 用 的 正确 抽象 语法 。 

安全 警报 报告 中 传递 的 参数 分 为 3 类 ,涵盖 了 调用 标识 符 、 模 式 、 受 管 对 象 类 、 受 管 对 象 
事例 、 事 件 类 型 .事件 时 间 、 当 前 时 间 、 通 知 标识 符 、 相 关 的 通知 、 额 外 的 信息 、 额 外 的 文本 、 安 
全 警报 原因 ,安全 警报 的 严重 性 .安全 警报 检测 器 .使 用 服务 的 用 户 和 服务 的 提供 者 等 。 

事件 类 型 和 安全 警报 原因 的 组 合 表明 了 警报 的 原因 。 这 些 原因 包括 完整 性 破坏 、 违 规 
操作 ,物理 入 侵 、 安 全 服务 、 机 制 的 侵犯 和 时 间 区 域 的 侵犯 等 。 

安全 警报 的 安全 参数 指明 了 由 初始 受害 客体 发 现 的 警报 意义 ,受害 客体 所 发 现 的 有 关 
系统 的 警报 可 能 是 系统 的 完整 性 受到 威胁 ,或 者 系统 安全 性 被 损害 ,再 或 者 检测 到 违反 安全 
并 且 重 要 的 或 不 太 重 要 的 信息 或 机 制 已 经 遭 到 损害 ,又 或 者 受害 客体 根本 不 相信 系统 的 安 
全 性 受到 威胁 。 

安全 警报 检测 器 参数 是 标识 检测 警报 条 件 的 实体 ,使 用 服务 的 用 户 参 数 标识 那些 请 求 
服务 从 而 导致 警报 发 生 的 实体 。 服 务 提供 者 参数 标识 那些 提供 服务 从 而 导致 警报 发 生 的 
实体 。 

安全 报警 的 产生 是 检测 到 任何 符合 已 定义 报警 条 件 的 安全 相关 事件 的 结果 ,这 可 能 包 
括 达到 预定 义 阔 值 的 情况 .有些 事件 需要 立即 采取 矫正 行动 ,而 另 一 些 事件 则 可 能 需要 进 一 
步调 查 研究 ,以 便 确定 是 否 采 取 行 动 。 

支持 安全 审计 和 报警 服务 需要 多 种 功能 : 

(1) 事件 甄别 器 ,提供 对 事件 的 初始 分 析 并 且 确 定 是 否 将 该 事件 转发 给 审计 记录 器 或 
报警 处 理 器 。 

(2) 事件 记录 器 ,将 接收 到 的 消息 生成 审计 记录 , 且 把 该 记录 存 人 作为 安全 审计 线索 。 

(3) 报警 处 理 器 ,产生 审计 消息 ,同时 产生 合适 的 行动 以 响应 一 个 安全 报警 。 

(4) 审计 分 析 器 ,检查 安全 审计 线索 ,如 果 合 适 就 生成 安全 警报 和 安全 审计 消息 。 
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(5) 审计 跟踪 审查 器 ,在 一 个 或 多 个 安全 审计 线索 外 再 产生 安全 审计 报告 。 

(6) 审计 提供 器 ,按照 某 些 规则 提供 审计 记录 。 

(7) 审计 归档 器 ,将 安全 审计 的 线索 部 分 归档 。 

安全 审计 和 报警 过 程 包括 以 下 几 个 阶段 : 

(1) 检测 阶段 一 一 与 安全 相关 的 事件 将 会 受到 检测 ,包括 确定 已 经 发 生 可 能 与 安全 相 
关 的 事件 。 

(2) 甄别 阶段 一 一 做 出 初始 辨别 ,确定 是 否 需要 将 该 事件 记录 在 该 安全 审计 线索 中 ,或 
是 否 需要 产生 报警 。 

(3) 报警 处 理 阶 段 一 一 发 布 一 个 安全 处 理 警 报 或 安全 审计 消息 。 

(4) 分 析 阶 段 一 一 将 一 个 安全 相关 事件 ,与 在 以 前 检测 到 并 且 由 日 志 记录 在 安全 线索 
里 的 事件 ,以 及 被 确定 的 行动 过 程 一 起 纳入 上 下 文 背 景 进 行 评 估 。 

(5) 聚集 阶段 一 一 将 分 布 式 安全 审计 跟踪 记录 汇集 成 单个 安全 审计 线索 。 

(6) 报告 生成 阶段 一 一 从 安全 审计 线索 中 产生 出 审计 报告 。 

(7) 归档 阶段 一 一 将 安全 审计 跟踪 记录 转移 到 该 安全 审计 跟踪 的 档案 中 。 


7.6.2 审计 日 志 


审计 日 志 是 记录 信息 系统 安全 状态 和 问题 的 原始 数据 。 理 想 的 日 志 应 当 包 括 全 部 与 数 
据 以 及 系统 资源 相关 事件 的 记录 ,但 这 样 付出 的 代价 太 大 。 为 此 ,日 志 的 内 容 应 当 根 据 安全 
目标 和 操作 环境 单独 设计 。 典 型 的 日 志 内 容 有 : 

(1) 事件 的 性 质 。 数 据 的 输入 和 输出 、 文 件 的 更 新 (改变 或 修改 ) 、 系 统 的 用 途 或 期 望 。 

(2) 全 部 相关 标识 。 人 ,设备 和 程序 。 

(3) 有 关 事 件 的 信息 。 日 期 和 时 间 ,成 功 或 失败 ,涉及 因素 的 授权 状态 ,转换 次 数 ,系统 
响应 ,项 目 更 新 地 址 ,建立 、 更 新 或 删除 信息 的 内 容 , 使 用 的 程序 ,兼容 结果 和 参数 的 检测 , 侵 
权 步 又 等 。 对 大 量 生成 的 日 志 要 适当 考虑 数据 的 保存 期 限 。 

日 志 审 计 在 国外 通常 叫做 日 志 管 理 (Log Management,LM) ,是 信息 安全 审计 技术 里 面 
比较 重要 的 一 项 技术 手段 ,与 行为 审计 是 相辅相成 的 审计 手段 。 通 过 日 志 审 计 , 协 助 系统 管 
理 员 在 受到 攻击 或 者 发 生 重大 安全 事件 后 查看 系统 或 网 络 日 志 , 从 而 评估 系统 或 网 络 配置 
的 合理 性 安全 策略 的 有 效 性 ,追溯 分 析 安 全 攻击 轨迹 ,并 能 为 实时 防御 提供 手段 。 目 前 , 审 
计 日 志 仍 然 面 临 着 各 种 技术 挑战 ,如 日 志 量 巨大 日 志 格式 和 内 容 复 杂 及 日 志 自身 安全 性 保 
证 等 。 

对 信息 系统 日 志 的 分 析 和 审计 就 是 对 操作 系统 、 系 统 应 用 或 用 户 活动 所 产生 的 一 系列 
的 计算 机 安全 事件 进行 记录 和 分 析 的 过 程 。 待 审计 的 用 户 活 动 按 各 自 的 性 质 不 同 ,被 视 为 
不 同 的 审计 事件 ,审计 事件 是 系统 审计 用 户 动作 的 最 基本 单位 。 系 统管 理 员 可 以 有 选择 地 
设置 对 哪些 用 户 、 哪 些 操作 (命令 或 系统 调用 ) 及 对 哪些 敏感 资源 的 访问 等 需要 审计 ,事件 的 
类 型 ,用户 的 身份 .操作 的 时 间 、 参 数 和 状态 等 构成 一 个 审计 记录 记 入 审计 日 志 。 系 统管 理 
员 可 查看 和 分 析 审 计 日 志 , 检 查 系统 中 有 无 危害 安全 性 的 活动 。 

对 于 一 个 日 志 审计 系统 ,从 功能 组 成 上 至 少 应 该 包括 信息 采集 、 信 息 分 析 、 信 息 存储 、 信 
息 展 示 4 项 基本 功能 。 

(1) 信息 采集 功能 : 系统 能 够 通过 某 种 技术 手段 获取 需要 审计 的 日 志 信息 。 对 于 该 功 
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能 ,关键 在 于 采集 信息 的 手段 种 类 、 采 集 信 息 的 范围 .采集 信息 的 粒度 (细致 程度 ) 。 

(2) 信息 分 析 功 能 : 是 指 对 于 采集 到 的 信息 进行 分 析 、 审 计 。 这 是 日 志 审 计 系统 的 核 
心 ,审计 效果 好 坏 直 接 由 此 体现 出 来 。 在 实现 信息 分 析 的 技术 上 ,简单 的 技术 可 以 是 基于 数 
据 库 的 信息 查询 和 比较 ; 复杂 的 技术 则 包括 实时 关联 分 析 引 擎 技术 ,采用 基于 规则 的 审计 、 
基于 统计 的 审计 、 基 于 时 序 的 审计 ,以 及 基于 人 工 智能 的 审计 算法 等 。 

(3) 信息 存储 功能 : 对 于 采集 到 的 原始 信息 以 及 审计 后 的 信息 都 要 进行 保存 .备查 ,并 
可 以 作为 取证 的 依据 。 在 该 功能 的 实现 上 ,关键 点 包括 海量 信息 存储 技术 以 及 审计 信息 安 
全 保护 技术 。 

(4) 信息 展示 功能 : 包括 审计 结果 展示 界面 统计 分 析 报表 功能 .告警 响应 功能 .设备 
联动 功能 等 。 这 部 分 功能 是 审计 效果 的 最 直接 体现 ,审计 结果 的 可 视 化 能 力 和 告警 响应 的 
方式 .手段 都 是 该 功能 的 关键 。 


7.6.3 安全 关联 


安全 审计 事件 关联 分 析 是 在 一 个 比 原 始 审计 记录 更 高 的 层次 上 对 安全 审计 数据 进行 的 
分 析 。 根 据 是 否 需要 先 验 知识 ,可 以 把 事件 关联 算法 分 为 两 类 : 有 指导 关联 算法 和 无 指导 
关联 算法 。 所 谓 有 指导 关联 算法 指 的 是 在 先 验 知识 的 指导 下 ,完成 整个 事件 关联 过 程 。 而 
无 指导 关联 算法 不 需要 先 验 知识 的 帮助 而 完成 事件 关联 的 整个 关联 工作 。 需 要 先 验 知识 的 
算法 ,可 以 归 类 为 基于 规则 的 方法 ; 无 须 先 验 知识 的 算法 依据 其 实现 技术 分 为 基于 概率 统 
计 和 基于 数据 挖掘 的 方法 ; 此 外 ,有 些 文献 提出 ,在 关联 分 析 的 过 程 中 ,引入 除 审 计 信 息 以 
外 的 系统 状态 等 信息 可 以 提高 分 析 的 准确 率 , 我 们 把 此 类 方法 归 为 基于 辅助 信息 的 方法 。 

1. 基于 规则 的 方法 

1) 基于 攻击 序列 模板 

基于 攻击 序列 模板 的 关联 方法 是 最 早 用 于 报警 事件 关联 行为 研究 的 一 种 方法 ,攻击 序 
列 模板 也 就 是 先 验 知识 , 它 的 一 般 形 式 是 : E 二 el op ez op…op ei op…op en。 其 中 ei 为 报警 
事件 ,op 为 e; 和 e; 之 间 不 同 的 关系 运算 符 。 在 整个 报警 事件 序列 中 ,不 同 报警 事件 的 发 生 
隐 含 着 一 个 时 序 关 系 , 即 e+ 是 ei 的 后 继 。 

2) 基于 因果 关系 

基于 因果 关系 的 事件 关联 方法 的 先 验 知识 一 般 表 示 为 一 个 三 元 组 (Attack,Prerequisites， 
Consequences) 。 其 中 ,Attack 表示 攻击 动作 名 , Prerequisites 表示 攻击 发 生 的 前 提 条 件 ， 
Consequences 表示 攻击 发 生 后 所 造成 的 影响 。 基 于 因果 关系 的 关联 算法 的 中 心思 想 就 是 
用 攻击 att 发 生 后 的 后 续 结 果 去 匹配 攻击 att; 发 生 的 前 提 条 件 , 如 果 能 够 全 部 匹配 或 部 分 
匹配 成 功 , 则 表明 攻击 att 和 att; 之 间 具 有 因果 联系 ,从 而 可 将 两 者 进行 关联 。 基 于 单个 攻 
击 因果 关系 的 事件 关联 方法 是 现在 研究 最 多 的 一 种 关联 方法 。 

基于 因果 关系 的 方法 通过 比较 先 发 生 报警 信息 的 行为 结果 和 后 发 生 报警 信息 的 行为 的 
先决 条 件 ,能 够 准确 灵活 地 对 两 个 报警 信息 进行 关联 。 它 不 仅 可 以 发 现 已 知 攻击 场景 报警 
信息 之 间 的 因果 关系 ,而 且 可 以 适应 攻击 者 可 变 的 攻击 模式 ,发现 未 知 攻击 场景 。 这 种 方法 
的 缺陷 在 于 因果 关系 的 定义 过 于 复杂 ,以 至 于 它 还 只 是 一 种 离线 检测 ,将 其 运用 于 实时 的 分 
析 中 还 有 待 于 进一步 的 研究 。 
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2. 基于 概率 统计 的 方法 


1) 基于 贝 叶 斯 分 类 器 的 关联 方法 

首先 定义 一 个 观察 空间 o 为 01,0: EV(1<i<<), 其 中 V 是 0 的 值 域 。 基 于 统计 , 设 先 
验 概率 为 : p(oi|s;)= 二 P(O=0;|S=s;) (1<j<m,l<i<n).。 

由 攻击 导致 的 观察 值 的 分 布 是 可 以 知道 的 ,根据 贝 叶 斯 理论 ,可 以 计算 出 它 的 后 验 
分 布 : 

假设 有 观察 
轧 (oi,gk | 5;)* p(s;) 

轧 (oi gt) 
如 果 两 个 空间 是 独立 的 , 即 一 个 观察 空间 的 事件 不 会 影响 另 一 个 观察 空间 的 事件 ,有 : 
pls; | 0:) » pls; | gr) 

p(s;) 

只 要 确定 就 有 可 能 导致 现在 观察 事件 的 攻击 ,用 下 面 的 公式 来 比较 不 同 攻 击 场景 的 可 

能 性 。 


pls; | 0i,q91) = 


pls; | 0i,g:) 一 


pls; | 0i%g1) _ ploivgr | 5;)*» p(s;) 
plsi | og:) plosqge | s1) » plsi) 


在 很 多 情况 下 ,两 个 概率 是 不 可 知 的 ,必须 假设 有 同样 的 概率 分 布 , 在 这 种 假设 下 ,上 式 
中 先 验 概率 能 作为 一 个 选择 方法 来 决定 攻击 场景 。 多 级 随机 事件 的 关系 能 用 贝 叶 斯 网 络 来 
表示 。 一 个 贝 叶 斯 网 络 是 非 循环 图 ,其 中 每 个 节点 都 是 随机 变量 ,一 个 节点 概率 以 一 点 的 条 
件 概率 来 计算 。 概 率 关联 很 难 获得 先 验 概率 和 条 件 概率 ,因此 这 种 方法 在 现实 生活 中 不 太 
可 用 。 

3. 基于 相似 度 函数 

基于 相似 度 函 数 的 关联 算法 把 报警 事件 定义 为 一 个 实体 ,单个 报警 事件 内 容 的 描述 为 
一 个 向 量 ,通过 定义 的 相似 性 函数 来 计算 事件 ei 与 关联 队列 中 的 es 之 间 的 相似 度 ,如 果 当 
前 发 生 的 报警 事件 其 与 已 发 生 的 报警 事件 之 间 的 相似 度 大 于 预定 义 的 阔 值 , 则 其 与 相似 度 
比较 大 的 事件 实体 完成 关联 ,否则 创建 新 的 关联 队列 。 概 率 报警 关联 方法 较 好 地 处 理 了 报 
警 的 完 余 关系 ,但 是 概率 报警 关联 方法 对 不 同 报警 类 使 用 相似 性 矩阵 预先 定义 ,然后 进行 关 
联 ,在 表达 能 力 上 具有 很 大 的 局 限 性 。 

4. 基于 数据 挖掘 的 方法 

基于 数据 挖掘 的 方法 很 多 ,下 面 就 以 基于 时 间 序列 分 析 的 关联 方法 为 例 进行 详细 说 明 。 

基于 时 间 序 列 分 析 的 关联 方法 引入 了 时 间 序 列 分 析 的 预测 方法 。 首 先 定义 时 间 间 隔 
,然后 把 该 时 间 间 隔 划分 成 N 份 ,并 利用 聚 类 方法 把 发 生 在 时 间 段 站 内 的 报警 事件 聚合 成 
事件 A,, 从 而 产生 报警 事件 集合 {Ai ,As ,…,A,}。 把 事件 Ai(1 达 过 n) 定义 为 时 间 序 列 分 
析 中 的 时 间 序列 变量 ,然后 引入 AR 模型 


p 
Yk) = DP Oy (ki te(k) 
i=1 
和 ARMA 模型 : 


4 La 
Yk) = Dyk—D)+ PBCk—i) + elk) 
i=1 i=1 
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并 利用 公式 : 

g Ey 一 FONT 一 20 一 D (其 中 Ro = DC),R = Pe)) 

计算 新 发 现 的 报警 事件 所 对 应 的 事件 序列 变量 >(&) 和 最 近 发 生 的 报警 事件 所 对 应 的 
时 间 变 量 x(k) 之 间 的 g 值 ,如 果 xz(k) 与 y() 之 间 的 g 值 最 大 , 则 >C) 所 对 应 的 报警 事件 
与 x(k) 所 对 应 的 报警 事件 具有 最 大 的 关联 可 能 性 ,从 而 完成 事件 关联 的 整个 过 程 。 

5. 基于 辅助 信息 的 方法 

以 上 是 主要 的 关联 分 析 方 法 ,关联 分 析 还 有 一 个 方面 是 合成 带 外 信息 。MZDZ1231 使 
用 形式 化 数据 模型 在 报警 关联 过 程 中 处 理 外 部 信息 。 它 处 理 4 种 不 同 的 信息 类 型 : 被 监视 
系统 的 信息 .已 知 漏洞 信息 、 安 全 工具 信息 (漏洞 扫描 器 和 入 侵 检 测 系统 ) 和 安全 工具 产生 的 
信息 ,如 扫描 和 报警 。 它 使 用 关系 数据 库存 储 网 络 人 侵 检 测 系统 和 扫描 器 的 信息 以 及 
ICAT 漏洞 信息 。 模 型 十 分 灵活 并 提供 了 许多 报警 会 聚 方法 ,如 相同 事件 产生 的 会 聚 ,引用 
同一 漏洞 ,属于 相同 TCP/IP 会 话 的 事件 以 及 基于 时 间 关 系 等 方法 。 


7.6.4 贝 叶 斯 推理 


贝 叶 斯 推理 是 由 英国 学 者 贝 叶 斯 发 现 的 一 种 归纳 推理 方法 ,后 来 的 许多 研究 者 对 贝 叶 
斯 方法 在 观点 ,方法 和 理论 上 不 断 地 进行 完善 ,最 终 形成 了 一 种 有 影响 的 统计 学 派 。 

贝 叶 斯 推理 是 在 经 典 的 统计 归纳 推理 一 一 估计 和 假设 检验 的 基础 上 发 展 起 来 的 一 种 新 
的 推理 方法 。 与 经 典 的 统计 归纳 推理 方法 相 比 , 贝 叶 斯 推理 在 得 出 结论 时 不 仅 要 根据 当前 
所 观察 到 的 样本 信息 ,而 且 还 要 根据 推理 者 过 去 有 关 的 经 验 和 知识 。 贝 叶 斯 推理 的 问题 是 
条 件 概率 推理 问题 ,这 一 领域 的 探讨 对 揭示 人 们 对 概率 信息 的 认 知 加 工 过 程 与 规律 ,指导 人 
们 进行 有 效 的 学 习 和 判断 决策 都 具有 十 分 重要 的 理论 意义 和 实践 意义 。 

贝 叶 斯 模型 推理 的 基础 是 贝 叶 斯 定理 ,该 定理 描述 如 下 : 


_ pWply | 0) 
p01y) pe 


其 中 ,0 为 模型 参数 ,y 为 自 观测 数据 ,p(0) 为 参数 的 先 验 概率 密度 函数 。p(y10) 为 似 
然 函 数 ,p(90|y) 为 参数 的 后 验 概率 密度 函数 ,p(y) 为 统计 得 到 的 概率 值 ,为 常数 。 

在 贝 叶 斯 推理 中 ,p(9) 表 示 在 未 获得 测量 数据 之 前 对 模型 参数 分 布 的 认识 ,主要 来 源 
于 以 往 的 数据 ,经 验 和 主观 判断 等 。p(y19) 代 表 模 型 参数 拟 合 测量 数据 的 程度 , 越 大 表示 
拟 合 效 果 越 好 ,反之 越 差 。p(0|y) 表 示 获 得 测量 数据 后 模型 参数 的 分 布 规律 , 即 在 统计 反 
演 意义 下 的 反问 题 的 解 。 

贝 叶 斯 推理 分 为 3 个 步骤 : 

(1) 基于 未 知 参数 的 所 有 先 验 信息 确定 一 个 先 验 概率 密度 函数 。 

(2) 找到 能 够 反映 模型 参数 和 测量 数据 之 间 关 系 的 一 个 似 然 函 数 。 

(3) 对 后 验 概率 密度 函数 抽样 ,进而 获得 参数 的 估计 值 。 

似 然 函数 的 构造 对 贝 叶 斯 推理 的 结果 有 很 大 的 影响 ,一 般 可 以 人 为 测量 误差 服从 正 态 
分 布 e 一 Np,0 ) ,此 时 似 然 函 数 为 : 


| (L032—) (02 =e) 


PCy | 0) ~exp LA - 
(2x0)¥ 20 
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其 中 ,为 矩阵 中 参数 的 格式 ,是 通过 计算 获得 的 后 验 概率 密度 函数 。 然 而 由 于 d(9) 往 
往 比 较 复杂 或 模型 的 空间 维 数 较 大 ,因此 后 验 概率 密度 函数 非常 抽象 ,而 且 很 难 直 观 地 表现 
出 来 。 为 了 获得 估计 值 ,应 选取 适当 的 抽样 方法 ,使 采样 结果 接近 后 验 密 度 函 数 的 概率 密度 
函数 。 


7.6.5 审计 报告 


审计 人 员 在 审计 业务 终了 以 后 ,要 将 审计 结果 加 以 综合 归纳 ,根据 审计 证 据 , 提 出 审计 
意见 ,做 出 审计 结论 ,向 审计 主管 机 关 和 被 审 单位 送 交 书面 报告 。 这 种 书面 报告 ,就 是 审计 
报告 。 审 计 报 告 既 是 审计 人 员 对 整个 审计 工作 的 总 结 ,也 是 评价 信息 系统 状况 的 书面 证 明 。 

审计 报告 模式 一 般 采 用 系统 主动 提供 与 被 动 提供 两 种 方式 。 系 统 主动 提供 就 是 在 系统 
中 加 入 控制 时 间 , 要 求 系统 在 特定 的 时 间 完 成 对 特定 时 段 审 计 结 果 信 息 的 提取 、 整 理 与 分 
析 ; 被 动 提供 是 用 户 依据 系统 提供 的 审计 报警 信息 或 根据 自己 发 现 的 问题 信息 向 系统 提出 
报告 请 求 ,系统 根据 提出 的 请 求 信 息 给 出 相应 的 审计 报告 。 

审计 报告 的 内 容 主要 涉及 系统 的 简要 信息 、 审 计 结 果 的 简单 数理 统计 、 危 险 等 级 与 事件 
模式 、 用 户 以 及 工作 站 相关 信息 等 。 在 给 出 简要 信息 的 基础 上 根据 现 有 的 信息 安全 知识 设 
定 系统 安全 参数 来 推断 当前 系统 的 安全 状态 ,并 根据 数据 分 析 结 果 提 出 相应 的 安全 防范 措 
施 或 建议 。 

根据 以 上 介绍 ,可 以 总 结 出 安全 审计 报告 中 应 该 包括 的 内 容 如 下 : 

(1) 总 体 评价 系统 当前 的 安全 级 别 ,应 该 给 出 当前 系统 所 处 的 安全 级 别 , 得 出 低 、. 中 、\ 高 
的 结论 ,包括 所 监视 的 网 络 设备 的 简要 评价 。 

(2) 对 偶然 的 \ 有 经 验 的 和 专家 级 的 黑客 人 侵 系 统 做 出 时 间 上 的 评估 和 判断 。 

(3) 简要 总 结 并 给 出 重要 的 建议 。 

(4) 详细 列举 安全 审计 过 程 中 的 步 又 ,此 时 可 以 提出 一 些 在 侦查 、 渗 透 和 控制 阶段 发 现 
的 问题 。 

(5) 对 各 种 网 络 元 素 提 出 建议 ,包括 路 由 器 、 端 口 服务、 登录 账户 、 物 理 安全 等 。 

(6) 讨论 物理 安全 : 许多 网 络 对 重要 设备 的 摆 放 都 不 注意 ,例如 有 的 公司 把 文件 服务 
器 置 于 接待 台 的 桌子 上 ,一旦 接待 人 员 离 开 , 则 服务 器 暴露 在 网 络 攻击 下 。 

(7) 安全 审计 领域 内 使 用 的 术语 的 介绍 。 

审计 报告 的 内 容 根据 审计 任务 的 不 同 而 有 所 区 别 。 因 此 审计 报告 的 内 容 及 所 附 资 料 ， 
要 根据 审计 任务 而 定 。 一 般 从 格式 上 来 说 ,审计 报告 应 包含 审计 任务 与 审计 范围 的 说 明 、 审 
计 结 论 的 提出 及 说 明 ,建议 事项 及 附件 等 模块 。 

审计 报告 是 表达 “审计 目标 、 主 要 审计 准则 内 容 、 审 计 范 围 . 审 计 结 果 及 结论 的 工具 ”。 
撰写 报告 时 ,审计 人 员 需 要 积极 与 管理 者 及 审计 委员 会 沟通 审计 结果 ,撰写 的 报告 应 该 客 
观 、 清 晰 简洁、 及 时 和 有 建设 性 ,同时 报告 的 表述 应 具有 逻辑 性 ,并 且 条 理 清 楚 , 内 容 充足 ， 
并 且 要 注意 报告 的 及 时 发 布 , 以 保证 迅速 采取 正确 的 措施 。 在 报告 最 后 发 布 之 前 ,信息 系统 
审计 师 应 注意 到 组 织 或 者 环境 的 重大 改变 ,做 好 后 期 事项 。 如 果 所 发 生 的 变化 会 影响 到 信 
息 系统 审计 的 发 现 与 结论 ,信息 系统 审计 师 有 责任 采取 恰当 的 措施 ,将 这 些 改变 及 其 潜在 影 
响 告 知 报告 的 收 件 人 。 这 里 所 提 及 的 重大 改变 往往 包括 发 现 应 用 系统 控制 中 有 欺骗 行为 ， 
火灾 等 自然 灾害 ,对 软件 系统 生命 周期 各 阶段 的 评审 中 发 现 的 重大 问题 而 导致 项 目 延期 或 
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终止 ,主要 客户 或 供应 商 出 现 问题 或 者 产品 出 现 问题 ,参与 项 目 实施 的 员工 离职 等 。 


7.7 ”信息 风险 事件 的 实时 响应 


2007 年 4 月 22 日 至 27 日 ,国际 标准 化 组 织 技 术 管理 局 风险 管理 工作 组 (ISO/TMB/ 
WG Risk Management) 在 加 拿 大 滥 太 华 召开 了 第 四 次 工作 组 会 议 , 会 议 将 "风险 ? 定 义 为 不 
确定 性 目标 的 影响 (The effect of uncertainty on objectives)。 该 定义 克服 了 其 他 国家 对 “ 风 
险 "定义 过 于 狭窄 ,不 准确 的 丙 端 , 直 指 风险 的 本 质 ,准确 、 全 面 、 易 于 理解 .便于 应 用 。 

“智者 千 虑 , 必 有 一 失 ”。 尽 管 已 经 开发 了 很 多 技术 来 保证 信息 系统 的 安全 可 靠 运 行 ,但 
要 做 到 没有 一 点 安全 漏洞 存在 是 很 难 的 ,更 何况 现在 网 络 中 各 种 人 侵 手段 及 人 侵 高 手 云集 ， 
系统 受到 入 侵 就 会 面临 严重 的 灾难 。 这 些 影响 信息 系统 安全 的 不 当 行 为 统称 为 风险 事件 。 
风险 事件 响应 就 是 风险 事件 发 生 以 后 所 采取 的 措施 和 行动 。 入 侵 技术 的 不 断 进化 ,再 加 上 
信息 系统 本 身 的 脆弱 性 ,使 得 入 侵 不 可 人 避免。 因此 ,信息 风险 事件 响应 就 成 为 一 个 与 防火 墙 
技术 .入侵 检测 技术 等 同样 重要 的 安全 保障 策略 和 手段 。 

安全 是 相对 的 ,而 风险 却 是 绝对 的 。 在 制定 风险 事件 的 实时 响应 措施 之 前 ,必须 先 识别 
风险 事件 。 一 般 认 为 ,信息 系统 风险 是 系统 的 脆弱 性 和 漏洞 ,以 及 以 系统 为 目标 的 安全 威胁 
和 攻击 的 总 称 。 系 统 脆弱 性 和 漏洞 是 风险 产生 的 原因 ,威胁 和 攻击 是 风险 的 结果 。 

信息 系统 中 存在 很 多 风险 ,但 不 是 所 有 风险 都 会 发 生 , 它 需要 一 定 的 发 生 条 件 , 例 如 开 
放 了 Web 服务 器 .网 页 遭 到 攻击 者 自 改 等 。 这 种 安全 风险 事件 的 发 生 就 可 能 是 在 一 定 条 件 
下 才 有 的 ,如 没有 及 时 响应 ,就 会 造成 风险 事故 。 

对 任何 信息 系统 来 说 ,都 存在 各 种 各 样 或 大 或 小 的 弱点 ,绝对 的 安全 是 不 存在 的 ,同样 
地 ,“ 零 风险 ”是 不 存在 的 , 正 所 谓 “ 安 全 是 相对 的 ,风险 是 绝对 的 "。 风 险 是 对 信息 系统 弱点 
进行 利用 后 产生 的 负面 影响 ,包括 这 种 影响 的 可 能 性 和 已 经 发 生 的 影响 。 潜 在 威胁 信息 系 
统 安全 的 风险 事件 的 形式 多 种 多 样 , 比 如 入 侵 者 试图 (不 管 成 功 与 否 ) 获 得 对 系统 或 其 数据 
的 未 授权 访问 ; 意外 的 破坏 或 者 拒绝 服务 ; 未 授权 地 使 用 系统 处 理 或 者 存储 数据 ; 在 所 有 
者 不 知情 、 未 指示 或 未 同意 情况 下 改变 系统 硬件 .固件 和 软件 特征 ; 物理 损害 (火灾 、 地 震 、 
水 灾 或 电源 损坏 等 ); 人 为 事故 (偶然 或 不 经 意 的 行为 造成 的 破坏 ); 设备 故障 (系统 级 外 围 
设备 故障 ); 内 、 外 部 攻击 (内 部 人 员 或 外 部 黑客 的 有 无 目的 的 攻击 ); 数据 误 用 (共享 机 密 
数据 或 数据 被 窃 ); 数据 丢失 (故意 或 非 故 意 的 以 破坏 方式 丢失 数据 ); 程序 错误 (计算 错 
误 .输入 错误 或 缓冲 区 溢出 ) 。 

由 于 风险 具有 时 间 动 态 性 和 空间 分 布 性 ,因此 必须 制定 实时 的 响应 计划 和 措施 。 实 时 
响应 就 是 针对 信息 系统 发 生 的 有 关系 统 安全 方面 的 风险 事件 进行 实时 响应 与 分 析 , 提 出 解 
决 方案 和 应 急 对 策 ,来 保证 信息 系统 和 网 络 免 遭 破坏 。 

计算 机 信息 系统 的 实时 响应 是 一 门 综合 性 的 技术 学 科 ,技术 要 求 较 高 ,是 对 突 发 安全 事 
件 进 行 响应 、 处 理 ,恢复 .跟踪 的 方法 及 过 程 ,几乎 与 计算 机 信息 系统 安全 学 科 内 所 有 技术 有 
关 , 主 要 包括 以 下 几 个 方面 。 

1. 阻 断 技术 


主要 有 3 种 阻 断 方式 : 
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(1) ICMP 不 可 达 响 应 一 一 通过 向 被 攻击 主机 或 攻击 源 发 送 ICMP 端口 或 目的 不 可 达 
报 文 来 阻 断 攻 击 。 

(2) TCP-RST 响应 一 一 也 称 阻 断 会 话 响应 ,通过 阻 断 攻击 者 和 受害 者 之 间 的 TCP 会 
话 来 阻 断 攻击 。 这 种 机 制 是 目前 使 用 最 多 的 主动 响应 机 制 。 

(3) 防火 墙 联动 响应 一 一 当 入 侵 检测 系统 检测 到 攻击 事件 后 向 防火 墙 发 送 规则 ,由 防 
火 墙 阻 断 当 前 以 及 后 续 攻 击 。 

2. 攻击 抑制 技术 

在 计算 机 网 络 应 急 响应 手段 中 ,一 种 及 时 主动 的 应 急 响 应 技术 就 是 攻击 抑制 技术 。 对 
于 已 经 发 生 的 信息 安全 事件 ,必须 立即 采取 攻击 源 隔离 等 有 效 措施 ,对 其 进行 抑制 ,以 防止 
不 良 后果 的 继续 扩大 。 攻 击 抑制 是 指 通 过 各 种 技术 手段 限制 攻击 的 范围 ,或 是 在 被 保护 的 
信息 系统 遭受 攻击 时 ,采取 各 种 技术 手段 ,有 效 减 少 破坏 行为 。 

抑制 的 目的 是 限制 事件 造成 影响 的 范围 和 程度 。 是 在 事件 发 生 的 第 一 时 间 对 故障 系统 
或 区 域 实施 有 效 隔离 和 处 理 , 或 根据 所 拥有 的 资源 状况 和 事件 等 级 ,采用 临时 关闭 受 影响 系 
统 并 将 业务 切换 到 备份 系统 等 措施 降低 损失 、 避 免 事 件 扩散 和 对 受害 系统 的 持续 性 破坏 。 
抑制 一 般 分 为 物理 抑制 .网 络 抑制 .主机 抑制 和 应 用 抑制 。 

研究 抑制 技术 有 助 于 在 发 生 突 发 安全 事件 时 降低 或 解除 攻击 的 影响 ,其 水 平 的 高 低 也 
决定 了 应 急 响 应 效率 的 高 低 。 主 要 涉及 事件 优先 级 认定 、 完 整 性 检测 和 域名 切换 等 技术 。 

3, 紧急 恢复 技术 

在 发 生 灾难 性 网 络 安全 事件 后 可 以 通过 紧急 恢复 技术 进行 系统 恢复 、 数 据 恢复 和 功能 
恢复 等 工作 ,保持 系统 为 可 用 状态 或 维持 最 基本 服务 能 力 。 传 统 方法 是 采用 磁盘 镜像 或 数 
据 备份 技术 以 提高 系统 的 可 靠 性 。 主 要 包括 系统 攻击 可 容忍 性 .网 络 结构 的 元 余 容 错 和 动 
态 切换 .计算 机 网 络 系统 恢复 .计算 机 远程 恢复 .计算 机 网 络 自修 复 等 方面 的 研究 。 

通过 应 急 恢 复 可 以 在 遭受 攻击 后 实现 网 络 结构 修复 和 重组 .主机 和 服务 器 的 恢复 .数据 
库 数据 的 安全 恢复 、 网 络 配置 的 动态 备份 和 快速 恢复 、 网 络 受 损 分 析 与 评估 。 

典型 的 恢复 技术 包括 漏洞 修补 .业务 连续 性 保障 和 灾难 恢复 等 。 常 用 工具 有 
Networker、 ADSM NetBackup、ARCserver 等 。 

4. 取证 技术 

取证 技术 是 指 对 存储 在 计算 机 系统 或 网 络 设 备 中 潜在 电子 证 据 的 识别 、 收 集 、 保 护 、 检 
查 和 分 析 以 及 法 庭 出 示 的 过 程 ,通常 是 对 存储 介质 .日 志 的 检查 和 分 析 。 计 算 机 取证 包括 物 
理 证 据 获取 和 信息 发 现 两 个 阶段 。 在 应 急 响 应 中 :收集 黑客 和 人 侵 的 证 据 是 一 项 非常 重要 的 
工作 。 取 证 技术 不 但 可 以 为 打击 计算 机 与 网 络 犯罪 提供 重要 支撑 手段 ,还 可 为 司法 鉴定 提 
供 强 有 力 的 证 据 。 

(1) 物理 证 据 获取 技术 。 指 在 计算 机 犯罪 现场 寻找 并 发 现 相关 原始 记录 的 技术 ,是 取 
证 工作 的 基础 。 在 获取 物理 证 据 时 最 重要 的 工作 是 保证 获取 的 原始 证 据 不 受 破坏 。 关 键 技 
术 是 无 损 备 份 和 删除 文件 的 恢复 。 

@ 无 损 备 份 技术 。 直 接 在 被 攻击 机 器 的 磁盘 上 进行 取证 操作 ,可 能 会 损坏 原始 数据 ， 
因此 要 用 磁盘 镜像 复制 的 办 法 ,将 被 攻击 机 器 的 磁盘 原样 复制 一 份 ,然后 对 复制 的 磁盘 进行 
取证 分 析 。 常 用 工具 有 SafeBack、Ghost 等 。 
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@ 删除 文件 的 恢复 技术 。 在 目前 使 用 的 操作 系统 中 ,即使 将 存储 在 硬盘 的 数据 进行 了 
删除 操作 ,并 清空 回收 站 ,数据 仍然 保留 在 硬盘 上 ,只 要 该 文件 的 存储 位 置 没 有 被 重新 写 人 
数据 ,原来 的 数据 就 可 以 恢复 出 来 。 常 用 工具 有 Easy Recovery、Recover My Files 等 。 

(2) 信息 发 现 技术 。 是 指 对 获得 的 原始 数据 (文件 .日 志 等 ) 进 行 分 析 , 从 中 寻找 可 以 用 
来 证 明 或 者 反 驶 的 证 据 。 具 体 手段 包括 : 

J@ 日 志 分 析 技 术 。 通 过 日 志 分 析 可 以 获得 某 时 段 CPU 负荷 、 用 户 使 用 习惯 \IP 来 源 、 
恶意 访问 提示 等 重要 信息 。 常 用 的 工具 有 NetTracker、Logsurfer、Netlog 和 Analog 等 。 

@ 数据 捕获 分 析 技 术 。 在 发 现 网 络 攻击 行为 后 ,通过 截获 和 分 析 入 侵 者 终端 发 出 或 者 
被 人 侵 主机 发 出 的 网 络 数据 包 , 可 获得 攻击 源 的 地 址 和 攻击 的 类 型 方法 。 常 用 工具 有 
TcpDump、WinDump、SNORT 等 。 

@ 解密 技术 。 越 来 越 多 的 计算 机 犯罪 者 使 用 加 密 技术 保存 关键 文件 ,隐藏 自己 进行 攻 
击 的 记录 和 操作 。 为 了 取得 最 终 的 攻击 证 据 , 取 证 人 员 应 能 将 已 发 现 的 文件 内 容 进行 解密 。 

信息 系统 风险 事件 应 急 响应 技术 是 信息 安全 中 较为 前 沿 的 一 个 研究 领域 。 随 着 研究 的 
深入 ,突破 了 原 PDRR 模型 的 设想 ,将 “响应 ”和 “恢复 ”两 种 安全 机 制 有 机 地 结合 起 来 ,成 为 
一 个 较为 完善 的 应 急 响 应 系统 。 综 合 利用 上 述 实时 响应 技术 ,充分 发 挥 管 理 与 机 制 在 其 中 
的 作用 ,并 不 断 改 进 相 关 规 则 来 构建 一 个 更 为 理想 、 完 善 的 应 急 响 应 系统 。 应 急 响 应 的 过 程 
如 下 : 

(1) 攻击 信息 分 析 。 由 入 侵 检 测 模块 发 现 网 络 攻击 ,用 分 析 处 理 模 块 对 收集 到 的 攻击 
信息 进行 分 析 整 理 , 根 据 预 先 设 定 的 策略 和 事件 处 置 规则 ,在 对 攻击 的 危害 程度 和 紧急 程度 
做 出 基本 判断 的 基础 上 ,形成 初步 处 置 方 案 , 并 将 处 置 方案 和 攻击 信息 通报 管理 平台 。 

(2) 简单 情况 处 置 。 依 据 情 况 处 置 方案 ,对 简单 的 网 络 扫描 或 危害 性 不 高 的 攻击 ,系统 
自动 启动 阻 断 或 隔离 模块 进行 处 理 ,防止 发 生 进一步 的 网 络 攻 击 行为 。 对 危害 程度 较 高 的 
攻击 行为 , 则 在 启动 阻 断 或 隔离 模块 的 同时 ,将 攻击 行为 引入 蜜 饶 模 块 中 ,避免 攻击 者 对 真 
实 系统 造成 危害 ,并 由 蜜 饶 系 统 记录 攻击 者 的 攻击 操作 ,同时 调用 追踪 模块 对 攻击 源 进行 追 
踪 调查 ,收集 并 确定 攻击 信息 。 

(3) 综合 分 析 处 理 。 管 理 员 通过 分 析 管 理 平台 、 蜜 缸 模 块 和 追踪 模块 收集 到 的 信息 ,对 
自动 防护 方案 进行 调整 ,并 可 采取 进一步 的 措施 ,如 通过 取证 模块 对 攻击 现场 进行 取证 , 调 
用 加 固 优化 模块 及 时 修补 导致 攻击 的 漏洞 来 防止 类 似 事件 的 发 生 , 调 用 应 急 恢 复 模块 对 已 
被 破坏 的 系统 进行 各 类 恢复 操作 等 。 

(4) 防护 规则 更 新 。 事 件 处 理 完 毕 后 ,由 管理 员 对 此 次 的 攻击 行为 及 采取 的 应 急 防 护 
措施 进行 综合 分 析 ,进一步 完善 分 析 处 理 机 制 , 设 定 更 为 合理 的 防护 规则 ,确保 应 急 防护 系 
统 可 以 对 下 一 次 同样 的 攻击 采取 更 为 有 效 、 及 时 的 防护 措施 。 


7.8 本 章 小 结 


安全 管理 贯穿 于 信息 系统 安全 需求 分 析 、 规 划 设 计 、 建 设 运行 以 及 安全 维护 等 各 个 阶段 
之 中 , 既 包 含 行政 手段 ,也 包含 技术 措施 。 本 章 所 述 的 安全 管理 的 内 容 包 括 信 息 系 统 安全 组 
织 机 构 管理 ,系统 安全 人 事 管理 .安全 系统 管理 ,信息 系统 灾难 恢复 和 安全 审计 管理 以 及 信 
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息 系 统 风险 事件 的 实时 响应 等 。 学 习 本 章 内 容 , 掌 握 与 安全 管理 有 关 的 内 容 与 方法 ,将 安全 
管理 与 技术 相 结合 ,确保 信息 系统 的 安全 可靠 运营 。 


7.9 习 题 


. 简 述 信息 系统 的 安全 组 织 结构 。 

. 关于 人 员 安 全 管理 方面 你 有 什么 很 好 的 建议 ? 

. 信息 系统 运行 的 安全 管理 目标 是 什么 ? 

. 系统 评价 指标 有 哪些 ? 

. 什么 是 安全 事件 ? 简 述 安全 事件 的 生命 周期 及 安全 事件 的 分 类 。 
. 简 述 应 急 计 划 的 内 容 ,应 急事 件 处理 的 基本 流程 。 

. 如 何 对 数据 进行 分 类 ? 分 为 哪 几 类 ? 

. 灾难 备份 的 衡量 指标 是 什么 ? 

. 灾难 备份 方案 分 为 几 级 ”主要 的 灾难 备份 技术 有 什么 ? 
. 简 述 如 何 选择 合适 的 灾难 恢复 方案 。 
.如何 做 成 本 效益 分 析 ? 

. 简 述 灾难 恢复 过 程 。 

13. 安全 审计 的 概念 及 其 功能 简介 。 

14. 安全 关联 的 作用 有 哪些 ? 

15. 简 述 贝 叶 斯 推理 的 内 容 。 

16. 风险 事件 的 分 类 有 哪些 ? 


忆 oo 中 上 性 


js hh 
[Ce 


第 8 章 信息 系统 安全 风险 评估 


从 机 构 的 角度 来 看 ,信息 系统 安全 问题 是 一 个 综合 管理 的 问题 。 风 险 管 理 是 信息 系统 
安全 运行 的 必要 保证 ,是 运行 维护 体系 中 最 重要 的 环节 ,而 风险 评估 则 是 风险 管理 的 基础 。 
本 章 将 详细 介绍 风险 评估 的 概念 和 过 程 ,并 介绍 一 些 风 险 评 估 的 标准 和 方法 。 


8.1 信息 系统 安全 风险 评估 基础 


一 个 单位 或 机 构 为 了 实现 业务 目标 建设 了 信息 系统 ,由 于 信息 系统 本 身 的 弱点 ,信息 系 
统 面临 着 威胁 ,导致 安全 事件 发 生 , 造 成 一 定 的 损害 后 果 。 


8.1.1 与 风险 评估 相关 的 概念 


风险 (Risk): 由 于 系统 存在 的 脆弱 性 ,人 为 或 自然 的 威胁 导致 资产 的 丢失 或 损害 潜在 
发 生 的 可 能 性 及 其 造成 的 影响 , 即 特定 威胁 事件 发 生 的 可 能 性 与 后 果 的 结合 。 它 由 安全 事 
件 发 生 的 可 能 性 及 其 造成 的 影响 这 两 项 指标 来 衡量 。 

残余 风险 (Residual Risk) : 采取 了 安全 措施 ,提高 了 信息 系统 安全 保障 能 力 后 ,仍然 可 
能 存在 的 风险 。 

资产 (Asset) : 指 任何 对 组 织 有 价值 的 事物 ,是 机 构 直接 赋予 了 价值 因而 需要 保护 的 东 
西 , 它 可 能 以 多 种 形式 存在 ,无 形 的 与 有 形 的 、 软 件 与 硬件 ,文档 与 代码 等 。 

威胁 (Threat) : 指 可 能 对 资产 和 组 织造 成 损害 的 事故 的 潜在 原因 。 威 胁 可 以 通过 威胁 
主体 ,资源 动机、 途径 等 多 种 属性 来 描述 。 无 论 对 于 多 么 安全 的 信息 系统 ,威胁 是 客观 存在 
的 , 它 是 安全 风险 评估 的 要 素 之 一 。 例 如 ,组 织 的 网 络 系统 可 能 受到 来 自 计算 机 病毒 和 黑客 
攻击 的 威胁 。 

脆弱 性 (Vulnerability) : 指 资产 或 组 织 中 能 被 威胁 利诱 造成 安全 问题 的 不 足 和 弱点 。 
脆弱 性 也 常 被 称 为 脆弱 点 。 脆 弱点 包括 物理 环境 机构. 过程 人 员 、 管 理 . 配 置 、 硬 件 、 软 件 
和 信息 等 各 种 资产 的 脆弱 性 。 例 如 ,员工 缺乏 信息 安全 意识 使 用 简短 易 被 猜测 的 口令 、 操 


作 系 统 本 身 有 安全 漏洞 等 。 
风险 评估 (Risk Assessment) : 指 对 信息 和 信息 处 理 设施 的 威胁 .影响 和 脆弱 性 及 三 者 
发 生 的 可 能 性 的 评估 。 


风险 评估 也 称 风险 分 析 , 是 对 各 方面 风险 进行 辨识 和 分 析 的 过 程 ,就 是 确认 安全 风险 及 
其 大 小 的 过 程 , 即 利用 适当 的 风险 评估 工具 ,包括 定性 和 定量 的 方法 ,确定 资产 风险 等 级 和 
优先 控制 顺序 。 

风险 管理 (Risk Management) : 是 指 基 于 风险 分 析 的 安全 管理 方法 。 风 险 管理 是 一 个 
过 程 ,其 首要 目的 是 保护 机 构 以 及 该 机 构 完 成 其 使 命 的 能 力 。 风 险 管理 包括 对 风险 的 识别 、 
评估 、 控 制 的 持续 循环 过 程 ,并 且 风 险 管理 必须 满足 成 本 效益 平衡 的 原则 。ISO/IEC 
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13335 ISO/IEC 27001 和 ISO/IEC 21827 等 标准 中 均 把 风险 管理 作为 安全 管理 的 一 个 主要 
内 容 来 进行 讨论 。 

ISO/IEC 27001 中 将 风险 管理 定义 为 可 以 接受 的 费用 识别 ,控制 降低 或 消除 可 能 影响 
信息 系统 的 安全 风险 的 过 程 , 即 是 一 系列 识别 ,控制 .降低 或 消除 安全 风险 的 活动 ,通过 风险 
评估 来 识别 风险 大 小 ,通过 制定 信息 系统 安全 方针 ,采取 适当 的 控制 目标 与 控制 方式 对 风险 
进行 控制 ,使 风险 被 避免 .转移 或 降 至 一 个 可 被 接受 的 水 平 。 

国际 标准 ISO/IEC 13335《 信 息 技术 安全 管理 指南 ) 给 出 了 信息 安全 ,信息 安全 风险 清 
晰 的 概念 模型 ,明确 了 信息 和 信息 系统 安全 风险 组 成 的 四 要 素 : 信息 系统 资产 ,信息 系统 脆 
弱 性 ,信息 安全 威胁 、 信 息 系统 安全 保护 措施 ,揭示 了 信息 安全 风险 产生 的 内 因 、 外 因 及 其 相 
互 辩 证 关系 : 信息 系统 本 身 的 脆弱 性 和 安全 保护 措施 的 漏洞 薄弱 点 就 是 产生 安全 风险 的 
内 因 ,对 资产 的 威胁 欲望 动机 及 其 实施 能 力 就 是 产生 安全 风险 的 外 在 因素 ; 并 明确 表达 了 
相对 信息 和 信息 系统 现 有 保护 措施 的 安全 风险 就 是 信息 和 信息 系统 安全 残余 风险 的 概念 ， 
使 得 人 们 对 信息 和 信息 系统 安全 概念 的 认识 又 深化 了 一 层 。 图 8. 1 显示 了 风险 评估 要 素 之 


间 的 主要 关系 。 
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保护 措施 
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了 表示 保护 措施 (Safeguard) 
8.1 风险 要 素 之 间 的 主要 关系 


8.1.2 风险 评估 要 素 关系 模型 


信息 系统 安全 风险 评估 要 素 包 括 资 产 、 威 胁 、 脆 弱 性 和 风险 和 安全 措施 。 图 8. 2 所 给 出 
的 是 信息 系统 安全 风险 评估 的 各 要 素 的 关系 。 其 中 ,风险 是 核心 , 它 的 评估 包括 其 他 3 个 要 
素 , 即 资产 .威胁 和 脆弱 性 。 信 息 系 统 安全 风险 评估 过 程 中 还 需要 充分 考虑 与 基本 要 素 密 切 
相关 的 其 他 各 类 因素 。 

图 8. 2 中 方 框 部 分 的 内 容 为 风险 评估 的 基本 要 素 , 椭 圆 部 分 的 内 容 是 与 这 些 基本 要 素 
相关 的 属性 。 风 险 评估 围绕 着 资产 .威胁 ,脆弱 性 和 安全 措施 这 些 基 本 要 素 展 开 , 在 对 基本 
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8.2 风险 评估 要 素 关系 图 


要 素 的 评估 过 程 中 ,需要 充分 考虑 系统 战略 .资产 价值 .安全 需求 .安全 事件 .残余 风险 等 与 
这 些 基本 要 素 相关 的 各 类 属性 。 

图 8. 2 中 风险 评估 各 要 素 和 属性 之 间 存 在 着 以 下 关系 。 

(1) 系统 战略 的 实现 对 资产 具有 依赖 性 ,依赖 程度 越 高 ,要求 其 风险 越 小 。 

(2) 资产 是 具有 价值 的 ,组 织 的 系统 战略 越 重要 ,对 资产 的 依赖 程度 越 高 ,资产 价值 就 
越 大 。 

(3) 风险 是 由 威胁 引发 的 ,资产 面临 的 威胁 越 多 则 风险 越 大 ,并 可 能 发 展 成 为 安全 
事件 。 

(4) 资产 的 脆弱 性 可 能 暴露 资产 的 价值 ,威胁 都 要 利用 脆弱 性 ,资产 的 脆弱 性 越 多 则 风 
险 越 大 。 

(5) 脆弱 性 是 未 被 满足 的 安全 需求 ,威胁 利用 脆弱 性 危害 资产 ,从 而 形成 风险 。 

(6) 风险 的 存在 及 对 风险 的 认识 导出 安全 需求 ,安全 需求 可 通过 保护 措施 得 以 满足 , 需 
结合 资产 价值 考虑 实施 成 本 。 

(7) 安全 措施 可 抵御 威胁 ,降低 风险 ,减弱 安全 事件 的 影响 

(8) 风险 不 可 能 也 没有 必要 降 为 零 , 在 实施 了 安全 措施 后 还 会 有 残留 下 来 的 风险 。 有 
些 残 留 风 险 是 由 于 安全 措施 不 当 或 无 效 , 需 要 进行 加 强 才 可 控制 的 风险 ,有 些 则 是 在 综合 考 
虑 了 安全 成 本 与 效益 后 不 去 有 意 控制 的 风险 ,这 部 分 风险 可 以 被 接受 。 

(9) 残余 风险 应 受到 密切 监视 , 它 可 能 会 在 将 来 诱发 新 的 安全 事件 的 实施 提供 支持 。 


8.1.3 风险 分 析 


风险 分 析 原 理 如 图 8. 3 所 示 。 

风险 分 析 是 风险 评估 的 核心 。 风 险 分 析 中 涉及 资产 威胁、 脆弱 性 3 个 基本 要 素 。 每 个 
要 素 有 各 自 的 属性 ,资产 的 属性 是 资产 价值 ; 威胁 的 属性 可 以 是 威胁 主体 、 影 响 对 象 出 现 
频率 、 动 机 等 ; 脆弱 性 的 属性 是 资产 弱点 的 严重 程度 。 

风险 分 析 主 要 包括 以 下 内 容 : 
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图 8.3 风险 分 析 原 理 


(1) 对 资产 进行 识别 ,并 对 资产 的 价值 进行 赋值 。 

(2) 对 威胁 进行 识别 ,描述 威胁 的 属性 ,并 对 威胁 出 现 的 频率 赋值 。 

(3) 对 脆弱 性 进行 识别 ,并 对 具体 资产 的 脆弱 性 的 严重 程度 赋值 。 

(4) 根据 威胁 及 威胁 利用 脆弱 性 的 难 易 程度 判断 安全 事件 发 生 的 可 能 性 。 

(5) 根据 脆弱 性 的 严重 程度 及 安全 事件 所 作用 的 资产 的 价值 计算 安全 事件 造成 的 
损失 。 

(6) 根据 安全 事件 发 生 的 可 能 性 以 及 安全 事件 出 现 后 的 损失 ,计算 安全 事件 发 生 对 组 
织 的 影响 , 即 风险 值 。 
8.1.4 信息 系统 安全 风险 评估 的 意义 

通过 风险 评估 ,能 及 早 发 现 问题 并 解决 问题 , 防 患 于 未 然 。 当 前 ,我 国信 息 化 发 展 过 程 
中 形成 的 基础 信息 网 络 和 关系 国家 安全 等 方面 的 重要 信息 系统 迫切 需要 进行 持续 的 风险 评 
估 。 通 过 风险 评估 可 以 有 助 于 认 清 信息 系统 安全 环境 和 信息 系统 安全 状况 ,明确 信息 化 建 
设 中 各 级 的 责任 ,采取 更 加 有 效 的 安全 保障 措施 ,保证 信息 系统 安全 策略 的 一 致 性 和 持续 
性 ,进而 为 国家 信息 化 发 展 服务 ,促进 信息 系统 安全 保障 体系 的 建设 ,全 面 提高 信息 系统 安 
全 保障 能 力 。 风 险 评估 的 意义 主要 体现 如 下 几 个 方面 。 

1. 加 强风 险 评估 工作 是 信息 系统 安全 工作 的 客观 需要 

信息 系统 安全 的 实现 是 一 个 不 断 变化 的 过 程 ,贯穿 于 信息 系统 建设 的 整个 生命 周期 。 
信息 系统 安全 的 威胁 可 能 来 自 内 外 部 攻击 造成 的 破坏 ,也 可 能 来 自信 息 系统 本 身 所 发 生 的 
意外 事故 。 必 须 按 照 风险 管理 的 思想 ,适时 开展 风险 评估 工作 ,妥善 应 对 可 能 发 生 的 问题 。 

2. 风险 评估 是 信息 系统 安全 建设 和 管理 的 关键 环节 

所 有 信息 系统 的 安全 建设 和 管理 都 应 以 风险 评估 为 基础 ,只 有 全 面 正 确 地 了 解 和 掌握 
系统 安全 风险 后 ,才能 在 控制 风险 .转移 风险 和 减 小 风险 之 间 做 出 正确 判断 ,决定 调用 多 少 
资源 、 以 多 大 的 代价 .采取 什么 样 的 措施 去 控制 风险 。 

3. 风险 评估 是 需求 主导 和 突出 重点 原则 的 具体 体现 

风险 是 客观 存在 的 ,完全 避免 风险 或 完全 消灭 风险 是 不 现实 的 。 要 根据 信息 及 信息 系 
统 的 价值 .威胁 程度 以 及 可 能 出 现 的 问题 的 严重 程度 ,科学 地 评估 风险 ,并 有 效 地 控制 风险 。 

4. 风险 评估 是 分 析 确 定 风险 的 过 程 

系统 的 安全 性 可 以 通过 风险 大 小 来 衡量 。 科 学 地 分 析 系 统 的 安全 风险 ,综合 平衡 风险 
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和 代价 是 风险 评估 的 基本 过 程 。 风 险 评估 是 风险 评估 理论 和 方法 在 加 强 信息 系统 安全 中 的 
运用 ,是 科学 地 分 析 信 息 系 统 在 机 密 性 、 完 整 性 和 可 用 性 等 方面 所 面临 的 风险 ,通过 采取 安 
全 措施 减少 风险 ,确保 风险 控制 在 可 接受 的 范围 内 。 


8.1.5 信息 系统 安全 风险 评估 的 内 酒 


1. 信息 系统 安全 风险 评估 是 信息 系统 安全 建设 和 管理 的 科学 方法 

信息 系统 安全 风险 评估 是 保障 信息 系统 安全 的 重要 方法 , 它 是 风险 管理 理论 和 方法 在 
信息 化 中 的 运用 。 信 息 系统 安全 风险 评估 是 信息 系统 安全 等 级 保护 管理 的 工作 ,也 是 系统 
安全 风险 管理 的 重要 环节 。 风 险 评估 正确 确定 信息 资产 、 合 理 分 析 信 息 系统 安全 风险 、 科 学 
管理 风险 和 控制 风险 。 

信息 系统 安全 的 目的 是 保护 信息 资产 免 受 威胁 ,但 绝对 安全 可 靠 的 网 络 系统 并 不 存在 ， 
只 能 通过 一 定 的 措施 把 风险 降低 到 可 以 接受 的 程度 。 信 息 系统 安全 评估 是 有 效 保证 信息 系 
统 安全 的 前 提 条 件 ,也 是 制定 安全 管理 措施 的 重要 依据 。 只 有 准确 了 解 系统 安全 需求 、 安 全 
漏洞 及 其 可 能 的 危害 ,才能 制定 并 实施 正确 的 安全 策略 。 

风险 评估 通过 一 系列 的 技术 和 管理 手段 检测 信息 系统 所 处 的 安全 级 别 .安全 问题 和 安 
全 漏洞 ,评估 运行 系统 的 风险 ,根据 审计 报告 ,制定 适当 的 安全 策略 和 实施 规范 ,为 安全 体系 
的 设计 提供 参考 。 

2. 信息 系统 安全 风险 评估 是 分 析 确定 风险 的 过 程 

信息 系统 安全 风险 评估 依据 国家 标准 规范 ,对 信息 系统 的 机 密 性 、 完 整 性 和 可 用 性 等 安 
全 保障 性 能 进行 综合 评估 活动 。 它 利用 适当 的 风险 评估 工具 ,确认 信息 资产 自身 的 风险 等 
级 和 风险 控制 的 优先 顺序 , 即 确认 安全 风险 及 其 大 小 的 过 程 。 风 险 评 估 是 这 样 的 过 程 , 它 识 
别 系统 安全 风险 ,并 确定 风险 出 现 的 概率 和 结果 造成 的 影响 ,提出 补充 的 安全 措施 以 缓和 风 
险 影响 。 风 险 评估 是 风险 管理 的 组 成 部 分 。 

3, 信息 系统 安全 风险 评估 是 信息 系统 安全 建设 的 起 点 和 基础 

信息 系统 安全 风险 评估 科学 地 分 析 理 解 信息 及 信息 系统 在 机 密 性 、 完 整 性 和 可 用 性 等 
方面 所 面临 的 风险 ,并 做 出 决策 ,确定 是 预防 风险 减少 风险 ,转移 风险 还 是 补偿 和 分 散 风险 
等 。 风 险 评估 分 析 现 有 系统 的 安全 性 ,为 降低 系统 安全 风险 .实施 风险 管理 及 风险 控制 提供 
直接 依据 。 

信息 系统 安全 建设 的 基本 原则 是 从 实际 出 发 ,坚持 需求 主导 、 突 出 重点 。 风 险 评估 在 实 
际 工作 中 具体 体现 了 这 一 原则 。 

4. 信息 系统 安全 风险 评估 倡导 适度 安全 

随 着 信息 技术 在 国家 各 个 领域 的 广泛 应 用 ,传统 的 安全 管理 方法 已 不 能 科学 全 面 地 分 
析 、 判 断 网 络 和 信息 系统 的 安全 状态 ,在 信息 系统 建设 和 运行 过 程 中 ,出 现 了 不 能 达到 适当 
安全 目标 的 偏差 。 

信息 系统 安全 风险 评估 从 风险 管理 的 角度 ,运用 科学 的 方法 和 手段 ,系统 地 分 析 信息 系 
统 所 面临 的 威胁 及 存在 的 脆弱 性 ,评估 安全 事件 发 生 可 能 造成 的 危害 程度 ,提出 针对 性 抵御 
的 防护 对 策 和 整改 措施 ,并 为 防范 信息 系统 安全 风险 ,最 大 限度 地 保障 信息 系统 安全 提供 科 
学 依据 ,将 风险 控制 在 可 接受 的 范围 内 。 
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风险 评估 在 信息 系统 安全 保障 体系 建设 中 具有 不 可 替代 的 重要 作用 , 它 是 实施 等 级 保 
护 的 前 提 , 也 是 检查 、 衡 量 系统 安全 状况 的 基础 。 


8.2 风险 评估 标准 


经 过 多 年 风险 评估 研究 与 探索 ,国外 发 达 国家 初步 建立 了 信息 安全 评估 认证 体系 ,陆续 
发 布 了 一 系列 相关 的 标准 、 指 南 和 规范 ,从 标准 、 过 程 . 方 法 与 实践 等 方面 都 在 一 定 程度 上 指 
导 了 各 国 的 信息 系统 安全 评估 实践 活动 。 目 前 国内 外 有 关 信 息 安全 评估 的 标准 有 很 多 ,本 
节 将 逐一 进行 介绍 。 


8.2.1 GB/T 20984-2007 


国内 标准 主要 是 (信息 安全 风险 评估 规范 》(GB/T 20984-2007)。2006 年 3 月 7 日 国务 
院 信息 化 办 公 室 印发 了 由 国家 信息 中 心 主持 编写 的 (信息 安全 风险 评估 规范 》( 报 批 稿 )， 
2007 年 7 月 ,该 标准 通过 了 国家 标准 化 管理 委员 会 的 审查 批准 ,标准 编号 与 名 称 为 GB/T 
20984-2007《 信 息 安全 技术 信息 安全 风险 评估 规范 》 于 2007 年 11 月 正式 实施 。 

该 标准 提出 了 风险 评估 的 要 素 、 实 施 流程 .评估 内 容 、 评 估 方 法 及 其 在 信息 系统 生命 周 
期 不 同 阶段 的 实施 要 点 ,适用 于 组 织 开 展 风 险 评估 工作 。 


8.2.2 CC 标准 


ISO/IEC 15408《 信 息 技术 安全 性 评估 通用 准则 》(Common Criteria of Information 
Technical Security Evaluation,CCITSE) ,简称 CC 标准 ,是 由 加 拿 大 .美国 及 欧洲 四 国 ( 共 6 
国 7 个 组 织 ) 经 协商 统一 的 准则 ,起 草 于 1993 年 6 月 ,国际 标准 化 组 织 于 1999 年 6 月 正式 
发 布 为 国际 标准 ,是 目前 最 全 面 的 评估 准则 。CC 2. 0 版 于 1999 年 成 为 国际 标准 ISO/IEC 
15408 ,我 国 于 2001 年 等 同 采用 GB/T 18336。ISO/IEC 15408 面向 整个 信息 产品 生存 期 ， 
不 仅 考虑 了 保密 性 ,而 且 还 考虑 了 完整 性 和 可 用 性 等 多 方面 的 安全 特性 ,侧重 于 对 产品 的 技 
术 指 标的 评估 。 


8.2.3 AS/NZS 4360 


AS/NZS 4360: 1999《 风 险 管理 标准 ) 是 澳大利亚 和 新 西 兰 关 于 风险 管理 的 标准 ,1995 
年 发 行 第 一 版 , 它 是 为 满足 公共 和 私人 机 构 的 高 层 管理 者 实际 工作 需要 而 产生 的 。 
AS/ NZS 4360 提供 的 方法 已 经 被 澳大利亚 政府 和 一 些 大 的 公众 企业 及 英国 国家 卫生 机 构 
所 采用 , 它 为 业界 提供 了 风险 管理 方面 的 过 程 标准 , 即 信 息 安全 风险 管理 分 为 建立 环境 、 风 
险 识 别 、 风 险 分 析 、 风 险 评 估 和 风险 处 理 这 5 个 标准 环节 。 


8.2.4 BS 7799 


BS 7799 标准 是 英国 标准 协会 (BSD) 制 定 的 信息 安全 管理 标准 ,是 国际 上 具有 代表 性 的 
信息 安全 管理 体系 标准 ,标准 包括 两 部 分 : BS 7799-1: 1999《 信 息 安 全 管理 实施 准则 》 和 BS 
7799-2: 2002《 信 息 安全 管理 体系 规范 》)。 标 准 的 第 一 部 分 为 第 二 部 分 的 具体 实施 提供 了 指 
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南 。BS 7799-1: 1999《 信 息 安全 管理 实施 准则 ) 是 机 构建 立 并 实施 信息 安全 管理 体系 的 一 
个 指导 性 准则 ,主要 为 机 构 制定 信息 安全 策略 和 进行 有 效 的 信息 安全 控制 提供 一 个 通用 的 
方案 ,BS 7799-1: 1999 于 2000 年 12 月 通过 ISO 认可 ,正式 成 为 国际 标准 , 即 ISO/IEC 
17799: 2000。BS 7799-2: 2002《 信 息 安全 管理 体系 规范 ) 规 定 了 建立 、 实 施 和 文件 化 信息 安 
全 管理 系统 (ISMS) 的 要 求 , 规 定 了 根据 机 构 需 要 实施 安全 控制 的 要 求 , 详 细 说 明了 建立 、 实 
施 和 维护 信息 安全 管理 系统 的 要 求 ,提出 了 应 如 何 建立 信息 安全 管理 体系 的 步骤 。BS 
7799-2: 2002 已 更 新 并 在 2005 年 10 月 正式 发 布 为 ISO/IEC 27001: 2005。BS 7799 标准 
要 求 各 组 织 建立 并 运行 一 套 经 过 验证 的 信息 安全 管理 体系 ,用 于 解决 资产 的 保管 .组织 的 风 
险 管理 ,安全 措施 选择 、 要 求 达到 的 安全 程度 等 问题 。 根 据 BS 7799 对 信息 安全 管理 框架 和 
风险 控制 点 的 要 求 , 可 以 设计 完善 的 信息 安全 管理 框架 和 风险 管理 体系 。 


8.2.5 ISO/IEC 13335 


国际 标准 化 组 织 发 布 的 (信息 技术 安全 管理 指南 》(ISO/IEC 13335) 分 为 5 个 部 分 : 

(1) ISO/IEC 13335-1: 1996《 信 息 安全 的 概念 和 模型 》。 

(2) ISO/IEC 13335-2: 1997《 信 息 安全 管理 与 规划 》。 

(3) ISO/IEC 13335-3: 1998《 信 息 安全 管理 技术 》。 

(4) ISO/IEC 13335-4: 2000 防 护 措施 的 选择 》。 

(5) ISO/VIEC 13335-5: 2001《 网 络 安全 管理 指南 》。 

ISO/IEC 13335 首次 给 出 了 关于 IT 安全 的 机 密 性 、 完 整 性 .可 用 性 、 审 计 性 、 认 证 性 和 
可 靠 性 6 个 方面 定义 ,并 提出 了 以 风险 为 核心 的 安全 模型 ,阐述 了 信息 安全 评估 的 思路 ,对 
信息 安全 评估 工作 具有 指导 意义 。 相 比 BS 7799, 它 对 安全 管理 的 过 程 描述 得 更 加 细致 。 


8.2.6 NIST SP800-30 


NIST SP800-30《IT 系统 风险 管理 指南 ), 由 NIST 于 2002 年 1 月 发 布 。NIST SP800-30 
《IT 系统 风险 管理 指南 ) 步 骤 清 晰 ,描述 流畅 ,对 分 级 的 定义 言 简 意 凡 , 基 本 采取 三 级 定义 
法 ,比较 适合 初步 开展 风险 评估 的 组 织 使 用 。NIST SP800-30《IT 系统 风险 管理 指南 ) 对 自 
动 化 的 信息 系统 处 理 信息 及 其 使 命 完成 ,起 到 了 重要 的 保护 和 支持 作用 。 其 中 ,风险 管理 共 
分 风险 评 佑 、 风 险 降 低 、 在 评估 及 评估 3 个 过 程 。 其 中 风险 评估 共 分 系统 描述 、 脆 弱 性 识别 、 
威胁 识别 .控制 分 析 、 可 能 性 判定 .影响 分 析 、 风 险 判 定 、 控 制 建 议和 结果 文档 9 个 步 又。 此 
份 指 南 的 特点 是 风险 评估 结合 信息 系统 生命 周期 的 各 个 阶段 而 进行 。 


8.2.7 OCTAVE 标准 


OCTAVE 是 一 种 信息 安全 风险 管理 的 方式 。OCTAVE 标准 是 原则 、 属 性 和 输出 的 集 
合 , 是 适合 组 织 自主 进行 的 ,综合 的 、 系 统 的 与 环境 相关 的 信息 安全 风险 评估 方法 。 由 此 标 
准 而 产生 的 方法 是 灵活 多 变 的 ,大 部 分 被 组 织 裁剪 后 都 可 以 使 用 。 此 标准 包括 两 种 具体 方 
法 : OCTAVE 方法 和 OCTAVE-S 方法 。OCTAVE 方法 主要 是 面向 大 型 组 织 , 而 
OCTAVE-S 方 法 主要 面向 小 型 组 织 。 在 实际 使 用 时 ,一 个 组 织 可 能 需要 混合 使 用 两 种 方 
法 ,或 与 OCTAVE 完全 不 同 的 评估 方式 混合 。 
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8.3 风险 评估 的 两 种 方式 


信息 系统 安全 风险 评估 是 提高 我 国信 息 系统 安全 保障 水 平 的 一 项 重要 措施 ,应 当 贯 穿 
于 网 络 与 信息 系统 建设 运行 的 全 过 程 。 根 据 评 估 发 起 者 的 不 同 ,风险 评估 可 分 为 自 评估 和 
检查 评估 两 种 工作 形式 。 信 息 系统 安全 风险 评估 应 以 自 评估 为 主 , 自 评估 和 检查 评估 相互 
结合 、 互 为 补充 。 

美国 等 发 达 国 家 的 自 评估 工作 已 经 实行 多 年 ,逐步 形成 了 标准 和 规范 ,大 体 进入 了 制度 
化 阶段 。 在 此 基础 上 ,它们 开始 强调 联邦 级 的 认证 认可 及 检查 评估 。 我 国 开展 信息 系统 安 
全 风险 评估 工作 滞后 于 发 达 国 家 。 因 此 , 现 阶段 应 该 把 自 评估 工作 尽快 开展 规范 起 来 , 打 
好 风险 评估 工作 的 基础 。 


8.3.1 自 评估 


自 评估 是 指 信息 系统 拥有 、 运 营 或 使 用 单位 发 起 的 对 本 单位 信息 系统 进行 的 风险 评估 ， 
目的 是 发 现 信 息 系 统 现 有 的 弱点 。 自 评估 是 风险 评估 的 基础 ,应 结合 系统 特定 的 安全 要 求 
进行 实施 。 根 据 * 谁 主管 谁 负责 , 谁 运营 谁 负责 ”的 原则 ,信息 系统 资产 的 拥有 者 .主管 者 . 运 
行者 首先 应 通过 自 评估 的 方式 对 自己 负责 ,这 样 才能 随时 掌握 安全 状况 ,不 断 调整 安全 措 
施 , 有 效 进行 安全 控制 。 周 期 性 进行 的 自 评估 可 以 在 评估 流程 上 适当 简化 ,重点 针对 自 上 次 
评估 后 系统 发 生变 化 后 引入 的 新 威胁 ,以 及 系统 脆弱 性 的 完整 识别 ,以 便于 两 次 评估 结果 的 
对 比 。 

自 评估 是 信息 系统 拥有 者 依靠 自身 力量 ,根据 国家 风险 评估 的 管理 规范 和 技术 标准 ,对 
自 有 的 信息 系统 进行 风险 评估 的 活动 。 信 息 系统 的 风险 来 自信 息 系 统 技术 平台 的 共性 和 特 
定 的 应 用 服务 。 由 于 具体 单位 的 信息 系统 特点 不 同 ,只 有 长 期 接触 该 单位 所 属 行业 和 部 门 
的 人 可 以 在 短期 内 熟悉 和 掌握 ,而 且 只 有 拥有 者 对 威胁 及 其 后 果 的 体会 最 深 。 信 息 技 术 企 
业 通 过 技术 平台 的 脆弱 性 分 析 ,难以 真正 掌握 和 了 解 具 体 行业 或 部 门 的 资产 、 威 胁 和 风险 。 
这 些 企业 需要 深入 研究 信息 技术 平台 的 共性 化 风险 和 推动 不 同行 业 部 门 的 个 性 化 风险 的 专 
门 研究 ,否则 风险 评估 的 关注 面 将 会 缺失 。 

自 评估 可 由 发 起 方 实施 ,也 可 以 委托 风险 评估 服务 技术 支持 方 实施 。 发 起 方 实施 的 评 
估 可 以 降低 风险 评估 的 费用 、 提 高 信息 系统 相关 人 员 的 安全 意识 ,但 可 能 缺乏 风险 评估 的 专 
业 技 能 ,造成 结果 不 够 深入 准确 ; 评估 受到 组 织 内 部 各 种 因素 的 影响 ,影响 其 结果 的 客观 
性 。 委 托 风 险 评估 服务 技术 支持 方 实施 的 评估 ,过 程 比较 规范 、 评 估 结 果 的 客观 性 比较 好 ， 
可 信 程度 较 高 ,但 受到 行业 知识 技能 及 业务 了 解 的 限制 ,对 被 评估 系统 的 了 解 存在 一 定 的 局 
限 性 ,尤其 是 在 业务 方面 的 特殊 要 求 。 另 外 ,引入 第 三 方 本 身 就 是 一 个 风险 因素 ,因此 ,应 对 
第 三 方 背景 与 资质 、 评 估 过 程 与 结果 的 保密 要 求 等 方面 进行 控制 。 

此 外 ,与 系统 相连 的 相关 方 也 应 配合 工作 ,保证 风险 评估 的 实施 ,防止 给 其 他 方 的 使 用 
带 来 困难 和 引入 新 的 风险 。 

自 评估 方式 的 优 缺 点 总 结 如 下 : 

(1) 优点 一 一 有 利于 降低 风险 评估 的 费用 ; 有 利于 发 挥 行业 和 部 门 内 的 人 员 的 业务 特 
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长 ; 有 利于 保密 ; 有 利于 提高 本 单位 的 风险 评估 能 力 与 信息 系统 安全 知识 。 

(2) 缺点 一 一 在 缺乏 信息 系统 安全 风险 评估 专业 人 才 的 情况 下 ,如 果 没 有 统一 的 规范 
和 要 求 , 自 评估 的 结果 可 能 不 深入 和 不 规范 ; 自 评估 中 可 能 会 存在 某 些 不 利 的 干预 ,影响 风 
险 评 估 结 果 的 客观 性 ,降低 评估 结果 的 置信 度 ; 某 些 时 候 , 自 评估 的 结果 需要 与 管理 层 进行 
沟通 。 

为 了 尽量 利用 自 评估 的 优点 ,降低 缺点 的 影响 ,可 以 对 自 评估 进行 改进 。 例 如 ,可 以 发 
挥 专家 的 指导 作用 或 委托 专业 评估 组 织 参 与 部 分 工作 ,也 可 以 委托 具有 相应 资质 的 第 三 方 
机 构 提 供 技术 支持 。 另 外 ,由 国家 建立 测评 认证 机 构 或 安全 企业 实施 评估 活动 ,这 样 综合 了 
自 评估 和 第 三 方 评估 的 优点 。 

委托 第 三 方 机 构 或 组 织 参与 自 评估 活动 时 ,接受 委托 的 评估 机 构 拥 有 风险 评估 的 专业 
人 才 , 并 且 风 险 评 估 的 经 验 比 较 丰 富 , 对 信息 技术 风险 的 共性 了 解 得 比较 深入 。 另 外 ,评估 
过 程 也 较为 规范 ,评估 结果 也 比较 客观 ,置信 度 比较 高 。 但 在 委托 第 三 方 机 构 或 组 织 参与 自 
评估 活动 时 需要 注意 ,第 三 方 机 构 可 能 会 难以 深入 了 解 行业 应 用 服务 中 的 安全 风险 ,并 且 风 
险 评估 中 必然 会 接触 到 被 评估 单位 的 敏感 信息 ,评估 结果 也 属于 敏感 信息 ,委托 评估 中 容易 
发 生 评估 风险 。 另 外 ,评估 费用 可 能 会 很 高 。 


8.3.2 检查 评估 


检查 评估 是 指 信息 系统 上 级 管理 部 门 或 国家 有 关 信 息 系统 安全 职能 部 门 依 法 组 织 的 信 
息 系统 安全 风险 评估 ,目的 是 实施 安全 管理 ,检查 被 评估 单位 是 否 满足 了 这 些 标准 或 法 规 。 
检查 评估 是 通过 行政 手段 加 强 信息 系统 安全 的 重要 措施 。 

检查 评估 的 形式 有 安全 保密 检查 、 生 产 安全 检查 和 专项 检查 。 被 查 单位 应 配合 评估 工 
作 的 开展 。 

检查 评估 的 实施 可 以 依据 国家 标准 或 法 规 的 要 求 ,实施 完整 的 风险 评估 过 程 ,也 可 以 在 
分 析 自 评估 过 程 的 基础 上 ,对 关键 环节 或 重点 内 容 实施 抽样 评估 。 

检查 评估 的 内 容 包 括 如 下 方面 ,但 不 仅 限于 此 : 

(1) 自 评估 队伍 及 技术 人 员 检 查 。 

(2) 自 评估 方法 的 检查 。 

(3) 自 评估 过 程控 制 与 文档 记录 的 检查 。 

(4) 自 评估 资产 列表 审查 。 

(5) 自 评估 威胁 列表 审查 。 

(6) 自 评估 脆弱 性 列表 审查 。 

(7) 现 有 安全 措施 有 效 性 检查 。 

(8) 自 评估 结果 审查 与 采取 安全 措施 的 跟踪 检查 。 

(9) 自 评估 技术 技能 限制 未 完成 项 目的 检查 评估 。 

(10) 系统 输入 输出 控制 的 检查 。 

(11) 上 级 关注 或 要 求 的 关键 环节 和 重点 内 容 的 检查 评估 。 

(12) 软 硬 件 维护 制度 及 实施 状况 的 检查 。 

(13) 突 发 事件 应 对 措施 的 检查 。 

(14) 数据 完整 性 保护 措施 的 检查 。 
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(15) 审计 追踪 的 检查 。 

检查 评估 的 模式 是 定期 进行 抽样 ,以 检查 关键 领域 或 关键 点 的 信息 系统 安全 风险 是 否 
在 可 接受 的 范围 内 。 在 检查 评估 实施 之 前 ,一 般 应 确定 适用 于 整个 评估 工作 的 评估 要 求 或 
规范 ,以 适用 于 所 有 被 评估 单位 。 

检查 评估 一 般 是 由 被 评估 方 的 主管 机 构 实施 的 ,被 检查 单位 自身 不 能 对 评估 过 程 进行 
干预 ,所 以 其 评估 结果 最 具 权 威 性 。 

检查 评估 本 身 也 有 一 定 的 限制 ,例如 评估 间隔 时 间 较 长 ,有 时 还 是 抽样 进行 ; 评估 不 能 
贯穿 整个 部 门 信息 系统 生命 周期 的 全 过 程 ,很 难 对 信息 系统 的 整体 风险 状况 做 出 完整 的 
评价 。 

检查 评估 也 可 以 委托 风险 评估 服务 技术 支持 方 实施 ,但 评估 结果 仅 对 检查 评估 的 发 起 
组 织 负责 。 由 于 检查 评估 代表 了 主管 机 构 ,涉及 评估 对 象 也 往往 较 多 ,需要 对 实施 检查 评估 
的 机 构 的 资质 进行 严格 管理 。 


8.4 风险 评估 的 过 程 


信息 系统 安全 风险 评估 是 依据 有 关 信 息 安 全 技术 与 管理 标准 ,对 信息 在 产生 ,存储 和 传 
输 等 过 程 中 其 机 密 性 ,完整 性 和 可 用 性 等 安全 属性 进行 评价 ,评估 资产 面临 的 威胁 以 及 威胁 
利用 脆弱 性 导致 安全 事件 的 可 能 性 ,并 结合 安全 事件 所 涉及 的 资产 价值 来 判断 安全 事件 发 
生 对 组 织造 成 的 影响 。 无 论 选择 哪 种 风险 评估 方法 ,都 会 涉及 以 下 基本 要 素 : 

(1) 识别 要 评估 的 资产 。 

(2) 确定 资产 的 威胁 .脆弱 性 及 相关 问题 。 

(3) 识别 风险 的 高 低 次 序 。 

(4) 完成 控制 措施 或 接受 风险 。 

(5) 监督 控制 措施 的 有 效 性 或 评估 其 有 效 性 。 


8.4.1 风险 评估 基本 流程 


风险 评估 的 基本 流程 如 图 8.4 所 示 。 

首先 是 风险 评估 的 准备 阶段 ,进行 组 织 准 备 .技术 准备 .人 员 准 备 和 资金 准备 。 然 后 是 
风险 评估 要 素 的 识别 和 赋值 ,包括 以 下 内 容 : 

(1) 对 信息 资产 进行 识别 ,并 对 资产 赋值 。 

(2) 对 威胁 进行 识别 ,并 对 威胁 发 生 的 可 能 性 赋值 。 

(3) 对 信息 资产 的 脆弱 性 进行 识别 ,并 对 脆弱 性 的 严重 程度 赋值 。 

(4) 根据 威胁 和 脆弱 性 计算 安全 事件 发 生 的 可 能 性 。 

(5) 结合 信息 资产 的 重要 性 和 在 此 资产 上 发 生 安 全 事件 的 可 能 性 计算 信息 资产 的 风 


险 值 。 
最 后 是 记录 风险 评估 的 结果 。 
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风险 评估 准备 
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8.4 信息 系统 安全 风险 评估 基本 流程 


8.4.2 风险 评估 准备 


风险 评估 的 准备 过 程 是 组 织 进行 风险 评估 的 基础 ,是 使 整个 风险 评估 过 程 高 效 完成 的 
保证 。 组 织 对 自身 信息 系统 计划 实施 风险 评估 是 一 种 战略 性 考虑 ,其 结果 将 受到 组 织 业 
务 需求 .战略 目标 、 业 务 流程 、 安 全 需求 、 系 统 规 模 和 组 织 结构 等 方面 的 影响 。 不 同 的 组 
织 对 风险 评估 的 实施 过 程 可 能 存在 不 同 的 要 求 。 因 此 ,在 实施 风险 评估 之 前 ,应 做 到 以 
下 几 点 : 

(1) 确定 风险 评估 的 目标 。 

(2) 确定 风险 评估 的 范围 。 

(3) 确定 组 织 的 结构 。 

(4) 进行 系统 调研 。 

(5) 选择 风险 评估 方法 和 工具 。 

(6) 获得 最 高 管理 者 的 支持 。 

1. 确定 风险 评估 的 目标 

在 风险 评估 准备 阶段 应 明确 风险 评估 的 目标 ,为 风险 评估 的 过 程 提供 导向 。 支 持 组 织 
业务 战略 的 信息 、 系 统 、 应 用 软件 和 网 络 是 组 织 的 重要 资产 ,其 机 密 性 、 可 用 性 和 完整 性 对 维 
持 企业 的 竞争 优势 . 获 利 能 力 、 法 规 要 求 和 企业 形象 等 具有 十 分 重要 的 意义 。 风 险 评 估 目 标 
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需 满足 企业 持续 发 展 在 安全 方面 的 要 求 ,满足 相关 方 的 要 求 ,满足 法 律 法 规 的 要 求 等 。 组 织 
进行 信息 系统 安全 风险 评估 活动 的 需求 是 实际 存在 的 ,无 论 出 于 何 种 动机 ,风险 评估 的 目标 
可 大 致 总 结 如 下 : 

1) 了 解 安 全 现状 

对 信息 资产 的 识别 ,明确 了 组 织 的 保护 对 象 及 保护 对 象 的 优先 级 序列 ; 威胁 识别 明确 
了 组 织 所 面临 的 安全 威胁 ,这 些 威胁 可 能 来 自 于 组 织 的 内 部 和 外 部 ; 脆弱 性 识别 可 以 使 组 
织 得 到 当前 信息 系统 漏洞 的 统计 及 分 布 情况 ; 安全 控制 措施 的 识别 和 确认 可 以 清晰 地 描述 
出 当前 的 安全 体系 的 安全 控制 措施 ; 风险 分 析 则 将 上 述 要 素 进行 关联 分 析 , 从 组 织 业务 和 
战略 的 角度 去 描述 和 量化 组 织 的 安全 风险 。 

2) 辅助 管理 层 决策 

组 织 的 管理 人 员 都 希望 能 够 将 有 效 的 资金 和 人 力 投入 到 信息 系统 安全 最 迫切 需要 的 环 
节 , 以 获得 最 大 化 的 安全 收益 ,而 且 收 益 是 可 验证 的 。 信 息 系 统 安全 风险 评估 活动 可 以 帮助 
组 织 实现 这 种 愿望 。 在 风险 评估 识别 阶段 完成 后 ,风险 的 主要 构成 要 素 均 已 被 识别 。 在 风 
险 分 析 阶 段 ,经 过 对 信息 系统 安全 风险 的 描述 .量化 和 展现 ,被 评估 组 织 管理 层 可 以 从 组 织 
业务 和 战略 的 高 度 , 了 解 信息 系统 安全 风险 。 

3) 强制 符合 性 检查 

组 织 为 了 满足 某 些 内 部 或 外 部 的 强制 要 求 进行 风险 评估 。 内 部 要 求 通 常 是 组 织 自身 的 
信息 系统 安全 策略 或 有 关 信 息 系统 安全 的 规定 ; 外 部 要 求 包 括 法 律 .强制 性 标准 和 行业 规 
范 等 。 随 着 信息 化 水 平 的 逐步 提高 和 信息 系统 安全 问题 日 益 突 出 ,会 有 越 来 越 多 的 有 关 信 
息 系统 安全 的 法 律 和 标准 推出 ,出 于 此 类 目的 而 进行 风险 评估 的 组 织 也 会 随 之 增加 。 

2. 确定 风险 评估 的 范围 

任何 一 项 评估 工作 开始 之 前 ,都 应 清楚 地 界定 出 评估 的 范围 。 在 划 定 评估 范围 时 ,只 有 
从 组 织 的 业务 人 手 ,才能 把 安全 策略 .组 织 和 人 员 ,安全 管理 和 操作 实践 以 及 信息 系统 本 身 
等 风险 评估 需要 考虑 的 各 个 方面 有 机 地 结合 起 来 ,也 只 有 从 业务 层面 人 手 ,分 析 阶 段 中 的 分 
析 工 作 , 才 会 有 实际 意义 。 

组 织 进行 风险 评估 可 能 是 自身 商业 需求 及 战略 目标 的 要 求 .相关 方 的 要 求 或 其 他 原因 ， 
应 根据 上 述 原因 确定 风险 评估 范围 。 范 围 可 能 是 组 织 内 部 的 信息 和 信息 系统 ,可 能 是 单独 
的 信息 系统 ,可 能 是 组 织 的 关键 业务 流程 ,也 可 能 是 客户 的 知识 产权 。 描 述 范围 时 ,最 重要 
的 是 对 于 评估 边界 的 描述 ,确定 了 清晰 的 评估 边界 ,就 相当 于 规定 了 对 风险 评估 小 组 的 授权 
范围 ,并 且 提供 了 进行 评估 的 必要 信息 。 

一 旦 确定 了 需要 评估 的 业务 范畴 ,评估 活动 就 可 以 从 以 下 方面 确定 相应 的 评估 范围 。 

1) 信息 系统 

业务 系统 选 定 后 ,支持 该 业务 运转 的 信息 系统 也 就 随 之 确定 。 在 风险 评估 的 识别 阶段 ， 
需要 识别 信息 资产 、 威 胁 、 脆 弱 性 以 及 已 有 安全 措施 等 重要 信息 ,这 些 信息 都 直接 或 间接 地 
来 自 于 信息 系统 本 身 。 在 描述 信息 系统 的 评估 范围 时 ,为 了 避免 重 释 或 遗漏 ,可 以 按照 不 同 
层次 ,对 实体 资产 进行 分 类 和 列表 。 

2) 组 织 结构 和 人 员 

被 评估 组 织 会 有 一 定 的 组 织 结构 和 人 员 。“ 人 ” 才 是 信息 系统 安全 活动 的 主体 ,每 个 人 
承担 着 特定 的 业务 职责 。 由 人 构成 一 个 个 部 门 ,不同 的 部 门 构成 层次 化 组 织 结构 。 信 息 系 
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统 安全 风险 评估 不 再 只 是 单纯 的 技术 ,评估 活动 会 更 加 关注 安全 管理 .整体 安全 、 安 全 体系 
建设 等 方面 。 

3) 安全 管理 和 实践 活动 

安全 管理 和 实践 活动 一 般 设 在 评估 流程 的 安全 措施 的 识别 与 确定 环节 。 如 果 没 有 有 效 
的 管理 和 操作 过 程 保障 ,再 好 的 安全 措施 也 无 法 发 挥 其 作用 。 实 际 上 ,在 信息 系统 的 组 织 和 
人 员 的 范围 确定 后 ,从 主体 和 客体 的 角度 也 就 确定 了 安全 管理 与 操作 的 范围 。 

4) 地 理 范 围 

业务 范围 确定 后 ,评估 活动 要 检查 的 地 理 范 围 相 应 地 也 就 被 确定 了 。 如 果 是 具有 较 大 
地 域 分 布 的 大 型 组 织 ,并 且 不 同 地 点 的 业务 具有 很 强 的 独立 性 ,就 需要 在 空间 上 明确 哪些 地 
点 属于 评估 的 范围 。 

3. 确定 组 织 的 结构 

确定 组 织 的 结构 即 建立 风险 评估 团队 ,以 支持 整个 过 程 的 顺利 推进 。 风 险 评估 团队 的 
成 员 是 指 评估 过 程 中 的 管理 者 以 及 具体 评估 活动 的 实施 者 。 组 织 结构 的 确定 应 考虑 其 结构 
的 复杂 程度 ,以 保证 能 够 满足 风险 评估 的 范围 和 目标 。 风 险 评估 团队 应 能 够 保证 风险 评估 
工作 的 高 效 进展 。 

在 选择 风险 评估 团队 成 员 时 ,不 仅 要 考虑 技术 部 门 ,也 要 考虑 各 个 部 门 的 搭配 ,团队 应 
包括 以 下 成 员 : 

(1) 风险 评估 的 专家 级 人 物 ,或 者 即将 成 为 专家 级 的 人 物 。 他 们 具有 丰富 的 评估 经 验 
和 专业 知识 ,为 评估 工作 提供 后 台 技术 支持 。 辅 助 高 层 决 策 , 目 的 是 持续 地 领导 具体 的 风险 
工作 。 

(2) 技术 专家 。 技 术 漏 洞 虽然 不 是 最 重要 的 ,但 在 风险 评估 的 过 程 中 技术 漏洞 却 是 最 
琐碎 的 。 评 估 过 程 中 要 涉及 很 多 的 技术 问题 ,所 以 需要 技术 专家 为 团队 成 员 解释 和 指导 专 
业 问 题 。 

(3) 如 果 组 织 已 经 通过 质量 管理 体系 、 环 境 管理 体系 等 其 他 体系 ,团队 需要 相关 体系 的 
负责 人 员 负 责 文档 评估 的 问题 。 

对 于 风险 评估 团队 的 建立 并 没有 准则 而 言 ,组 织 可 以 按照 自身 的 情况 来 配备 相关 的 人 
员 。 风 险 评 估 专 家 和 技术 专家 一 般 是 必需 的 。 

4. 系统 调研 

系统 调研 是 确定 被 评估 对 象 的 过 程 ,风险 评估 团队 应 进行 充分 的 系统 调研 ,为 确定 风险 
评估 目标 .评估 依据 和 方法 的 选择 和 评估 内 容 的 实施 提供 基础 。 调 研 内 容 至 少 应 包括 

(1) 业务 战略 及 管理 制度 。 

(2) 主要 的 业务 功能 和 要 求 。 

(3) 网 络 结构 与 网 络 环境 ,包括 内 部 连接 和 外 部 连接 。 

(4) 系统 边界 。 

(5) 主要 的 软件 和 硬件 。 

(6) 数据 和 信息 。 

(7) 系统 和 数据 的 敏感 性 。 

(8) 支持 和 使 用 系统 的 人 员 。 
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系统 调研 可 以 采取 问卷 调查 、 现 场面 谈 相 结合 的 方式 进行 。 调 查 问 卷 是 提供 一 套 关 于 
管理 或 操作 控制 的 问题 表格 , 供 系 统 技术 或 管理 人 员 填 写 。 现 场面 谈 是 由 评估 人 员 到 现场 
观察 并 收集 系统 在 物理 、 环 境 和 操作 方面 的 信息 。 

5. 选择 风险 评估 方法 和 工具 

风险 评估 方法 应 考虑 评估 的 范围 .目标 .时 间 、 效 果 、 组 织 文化 .人 员 素质 以 及 具体 开展 
的 程度 等 因素 来 确定 ,使 之 能 够 与 组 织 的 环境 和 安全 要 求 相 一 致 。 

评估 过 程 中 需要 用 到 风险 评估 工具 ,应 根据 需要 进行 选择 。 

6. 获得 最 高 管理 者 对 风险 评估 的 支持 

风险 评估 过 程 应 得 到 组 织 最 高 管理 者 的 支持 ,批准 ,并 对 管理 层 和 技术 人 员 进 行 传达 ， 
在 组 织 内 部 对 风险 评估 相关 内 容 进行 培训 ,以 明确 有 关 人 员 在 风险 评估 中 的 任务 。 


8.4.3 资产 识别 


信息 资产 是 具有 价值 的 信息 或 资源 , 它 能 以 多 种 形式 存在 ,有 无 形 的 和 有 形 的 ,有 硬件 
和 软件 ,有 文档 和 代码 ,也 有 服务 和 形象 等 。 对 信息 资产 而 言 , 主 要 包括 3 个 部 分 : 信息 本 
身 、 信 息 处 理 设施 和 信息 处 理 人 员 。 广 义 上 讲 , 组 织 内 所 有 资产 和 信息 都 有 联系 ,都 可 以 
作为 信息 资产 而 被 识别 。 在 实践 过 程 中 ,信息 处 理 设施 往往 属于 固定 资产 的 范畴 ,一 般 
都 已 经 得 到 良好 的 管理 ,而 人 员 管 理 有 专门 的 人 力 资源 管理 资料 可 用 , 且 评估 应 该 有 其 
他 的 方法 。 

机 密 性 、 完 整 性 和 可 用 性 是 评价 信息 资产 的 3 个 安全 属性 。 信 息 资产 安全 特性 的 不 
同 也 决定 了 其 信息 价值 的 不 同 ,以 及 存在 的 弱点 、 面 临 的 威胁 、 需 要 进行 的 保护 和 安全 控 
制 都 各 不 相同 。 风 险 评估 中 资产 的 价值 不 仅仅 以 资产 的 经 济 价值 来 衡量 ,也 由 资产 在 3 
个 安全 属性 上 的 达成 程度 或 者 其 安全 属性 未 达成 时 所 造成 的 影响 程度 来 决定 。 安 全 属 
性 达成 程度 的 不 同 将 使 资产 具有 不 同 的 价值 ,而 资产 面临 的 威胁 、 存 在 的 脆弱 性 以 及 已 
采用 的 安全 措施 都 将 对 资产 安全 属性 的 达成 程度 产生 影响 。 因 此 ,有 必要 对 组 织 中 的 资 
产 进行 识别 。 

资产 识别 的 首先 工作 是 对 资产 进行 分 类 ,然后 对 每 项 资产 的 机 密 性 .完整 性 和 可 用 性 进 
行 赋值 ,在 此 基础 上 评价 资产 的 重要 性 。 

1. 资产 分 类 

在 一 般 的 评估 体 中 ,资产 有 多 种 表现 形式 ,资产 大 多 属于 不 同 的 信息 系统 ,如 办 公 自 动 
化 系统 、 网 管 系统 、 业 务 生产 系统 等 。 对 于 提供 多 种 业务 的 组 织 , 其 支持 业务 持续 运行 的 系 
统 数量 可 能 会 很 多 。 因 此 首先 需要 将 信息 系统 及 其 相关 的 信息 资产 进行 分 类 ,才能 在 此 基 
础 上 进行 下 一 步 的 风险 评估 工作 。 在 实际 工作 中 ,具体 的 资产 分 类 方法 可 以 根据 具体 评 
估 对 象 、 要 求 和 具体 环境 ,由 评估 者 灵活 把 握 。 例 如 可 以 按 用 途 分 类 ,也 可 以 按 安全 级 别 
分 类 。 

表 8.1 给 出 了 一 个 信息 资产 分 类 示例 。 


178 信息 系统 安全 


表 8.1 信息 资产 分 类 示例 


资产 分 类 资产 示例 
电子 媒介 数据 ,包括 源 代 码 \ 数 据 库 数 据 \ 数 据 资料 ,系统 文档 \ 运 行 管理 规程 .计划 
丈 损 报告 产品 信息 等 
而 作 计算 机 打印机、 路由器 .交换 机 .硬件 防火 墙 .程序 交换 机 等 
软件 应 用 程序 .系统 软件 .开发 工具 .资源 库 等 
文 梢 纸 质 的 各 种 文件 .传真 \ 财 务 报告 \ 发 展 计划 等 
服务 WWW、SMTP.POP3、FTP、 网 络 连 接 、 网 络 管理 .入 侵 监 控 等 信息 服务 
环境 设备 电源 .空调 文件 柜 、 消 防 设施 等 
人 员 各 级 雇员 . 府 主 .合同 方 雇员 等 
其 他 企业 形象 客户 关系 等 
2. 资产 赋值 


信息 资产 的 赋值 是 进行 风险 评估 的 关键 ,如 果 参 与 风险 评估 的 人 员 对 信息 资产 的 价值 
没有 统一 的 认识 ,进行 准确 的 风险 评估 则 很 困难 。 

资产 赋值 是 对 资产 安全 价值 的 估价 ,不 仅 要 考虑 资产 的 成 本 价格 ,更 要 考虑 资产 对 于 组 
织 业务 的 安全 重要 性 , 即 根据 资产 损失 所 引发 的 潜在 影响 来 决定 。 对 信息 资产 进行 赋值 并 
不 是 一 件 容易 的 事情 ,通常 需要 资产 拥有 者 的 积极 配合 。 

资产 赋值 可 以 为 机 密 性 、 可 用 性 和 完整 性 这 3 个 安全 特性 分 别 赋予 不 同 的 价值 等 级 ,也 
可 以 用 相对 信息 价值 的 货币 来 衡量 。 资 产 赋值 的 过 程 也 就 是 对 资产 在 机 密 性 、 完 整 性 和 可 
用 性 影响 分 析 的 过 程 。 资 产 对 机 密 性 、 完 整 性 和 可 用 性 上 的 要 求 可 由 安全 属性 缺失 时 造成 
的 影响 来 表示 ,这 种 影响 有 人 为 或 突 发 性 引起 的 安全 事件 对 资产 破坏 的 后 果 。 这 一 后 果 可 
能 毁灭 某 些 资产 ,危及 信息 系统 并 使 其 丧失 机 密 性 、 完 整 性 和 可 用 性 ,最 终 会 导致 财政 损失 、 
市 场 份额 或 公司 形象 的 损失 。 

资产 安全 属性 的 不 同 ,通常 也 意味 着 安全 控制 、 保 护 功 能 需求 的 不 同 。 通 过 考察 3 种 不 
同 的 安全 属性 ,基本 能 够 了 解 资产 的 价值 。 

1) 资产 机 密 性 赋值 

根据 资产 在 机 密 性 方面 的 不 同 要 求 ,将 其 分 为 不 同 的 等 级 ,分 别 对 应 资产 在 机 密 性 方面 
的 价值 或 者 机 密 性 受到 损失 时 对 整个 组 织 的 影响 。 表 8. 2 列 出 了 一 种 资产 机 密 性 赋值 的 
参考 。 


表 8.2 资产 机 密 性 赋值 
赋值 | 标识 定 义 
1 可 忽略 | 可 对 社会 公开 的 信息 、 公 用 的 信息 处 理 设备 和 信息 资源 等 信息 资产 
仅 在 组 织 内 部 或 某 一 部 门 内 部 公开 的 信息 ,向 外 扩散 有 可 能 对 组 织 的 安全 和 利益 造 
成 轻微 损害 
3 中 等 | 组 织 的 一 般 性 机 密 , 其 泄露 会 使 组 织 的 安全 和 利益 受到 损害 
4 高 组 织 的 重要 秘密 ,其 泄露 会 使 组 织 的 安全 和 利益 遭受 到 严重 损害 
组 织 最 重要 的 机 密 , 关 系 未 来 发 展 的 前 途 命运 ,对 组 织 根本 利益 有 着 决定 性 的 影响 ， 
如 果 泄 露 会 造成 灾难 性 的 损害 
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2) 资产 完整 性 赋值 

根据 资产 在 完整 性 方面 的 不 同 要 求 , 将 其 分 为 不 同 的 等 级 ,分 别 对 应 资产 在 完整 性 方面 
的 价值 或 者 完整 性 受到 损失 时 对 整个 组 织 的 影响 。 表 8. 3 列 出 了 一 种 有 关 资 产 完整 性 赋值 
的 参考 。 


表 8.3 资产 完整 性 赋值 


赋值 | 标识 定义 

可 忽略 完整 性 价值 非常 低 , 未 经 授权 的 修改 或 破坏 对 组 织造 成 的 影响 可 以 忽略 ,对 业务 冲击 
可 以 忽略 

低 完整 性 价值 较 低 ,未 经 授权 的 修改 或 破坏 会 对 组 织造 成 轻微 影响 ,可 以 忍受 ,对 业务 

冲击 轻微 ,损失 容易 弥补 

, 中 等 完整 性 价值 中 等 ,未 经 授权 的 修改 或 破坏 会 对 组 织造 成 影响 ,对 业务 冲击 明显 ,但 损 
失 可 以 弥补 

高 完整 性 价值 较 高 ,未 经 授权 的 修改 或 破坏 会 对 组 织造 成 重大 影响 ,对 业务 冲击 严重 ， 
损失 比较 难以 弥补 

很 高 完整 性 价值 非常 关键 ,未 经 授权 的 修改 或 破坏 会 对 组 织造 成 重大 的 或 无 法 接受 的 影 


响 , 对 业务 冲击 重大 并 可 能 造成 严重 的 业务 中 断 ,损失 难以 弥补 


3) 资产 可 用 性 赋值 

根据 资产 在 可 用 性 方面 的 不 同 要 求 ,将 其 分 为 不 同 的 等 级 ,分别 对 应 资产 在 可 用 性 方面 
的 价值 或 者 可 用 性 受到 损失 时 对 整个 组 织 的 影响 。 表 8. 4 提供 了 一 种 有 关 资 产 可 用 性 赋值 
的 参考 。 


表 8.4 资产 可 用 性 赋值 


赋值 标识 定 党 
可 忽略 可 用 价值 可 以 忽略 ,合法 使 用 者 对 信息 及 信息 系统 资源 的 可 用 度 在 正常 工作 时 间 低 
加 于 25% 
低 可 用 价值 较 低 , 合 法 使 用 者 对 信息 及 信息 系统 资源 的 可 用 度 在 正常 工作 时 间 达 到 


25% 以 上 ,或 系统 允许 中 断 时 间 小 于 60 分 钟 
可 用 价值 中 等 ,合法 使 用 者 对 信息 及 信息 系统 资源 的 可 用 度 在 正常 工作 时 间 达 到 


3 | 中等。 | 70% 以 上 ,或 系统 允许 中 断 时 间 小 于 30 分 钟 

1 | 各。 | 可 用 价 信 较 高 ,合法 使 用 者 对 信息 及 信息 系统 交 源 的 可 用 度 这 到 每 天 90% 以 上 ,或 
系统 允许 中 断 时 间 小 于 10 分 名 

。 | 向 | 可 用 价值 非常 高 ,合法 使 用 阁 对 信息 及 信息 系统 资源 的 可 用 度 这 到 年 度 99. 57 以 


上 ,或 系统 不 允许 中 断 


4) 资产 重要 性 等 级 

资产 价值 可 以 通过 资产 在 机 密 性 、 完 整 性 和 可 用 性 方面 的 赋值 等 级 ,经 过 综合 评定 得 出 
资产 价值 。 资 产 的 赋值 采用 定性 的 相对 等 级 方式 。 与 安全 属性 的 等 级 相对 应 ,资产 的 等 级 
可 分 为 5 级 ,从 1 一 5 由 低 到 高 分 别 代表 5 个 级 别 的 资产 相对 价值 ,等 级 越 高 表示 资产 的 重 
要 性 程度 越 高 。 表 8. 5 提供 了 一 个 有 关 资 产 重要 性 等 级 划分 的 参考 ,1 一 5 赋值 方法 。 此 外 
还 有 1 一 3 赋值 法 和 1 一 9 赋值 法 等 。 
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表 8.5 资产 重要 性 等 级 


赋值 | 标识 定 攻 

可 忽略 资产 的 重要 程度 很 低 , 其 安全 属性 遭 到 破坏 后 可 能 导致 系统 受到 很 低 程度 的 影响 ,对 
组 织造 成 的 损失 很 小 ,可 以 忽略 不 计 

低 资产 的 重要 程度 较 低 ,其 安全 属性 遭 到 破坏 后 可 能 导致 系统 受到 较 低 程度 的 影响 ,对 
组 织造 成 较 低 的 损失 

中 等 资产 的 重要 程度 中 等 ,其 安全 属性 遭 到 破坏 后 可 能 导致 系统 受到 中 等 程度 的 影响 ,对 
组 织造 成 中 等 程度 的 损失 

高 资产 的 重要 程度 较 高 ,其 安全 属性 遭 到 破坏 后 可 能 导致 系统 受到 比较 严重 的 影响 ,对 
组 织造 成 比较 严重 的 损失 

很 高 资产 的 重要 程度 很 高 ,其 安全 属性 遭 到 破坏 后 可 能 导致 系统 受到 非常 严重 的 影响 ,对 
组 织造 成 非常 严重 的 损失 


由 于 资产 最 终 价 值 的 等 级 评估 是 依据 资产 机 密 性 .完整 性 和 可 用 性 的 赋值 级 别 ,经 过 综 
合 评定 得 出 的 ,评定 准则 可 以 根据 组 织 自身 的 特点 ,选择 对 资产 机 密 性 、 完 整 性 和 可 用 性 最 
重要 的 一 个 属性 赋值 等 级 作为 综合 资产 赋值 准则 ,也 可 以 根据 资产 机 密 性 ,完整 性 和 可 用 性 
的 综合 评定 作为 准则 。 评 估 者 也 可 以 根据 被 评估 系统 的 实际 情况 自 定义 资产 的 等 级 。 这 种 
方法 可 以 作为 等 级 保护 中 确定 安全 等 级 的 参考 。 


8.4.4 威胁 识别 


威胁 是 可 能 导致 对 系统 或 组 织 及 其 资产 造成 破坏 的 潜在 可 能 性 因素 。 造 成 威胁 的 因素 
可 分 为 环境 因素 和 人 为 因素 。 环 境 因素 包括 自然 界 的 不 可 抗 因素 和 其 他 物理 因素 。 人 为 因 
素 根据 威胁 的 动机 可 分 为 恶意 和 非 恶意 。 威 胁 的 作用 形式 可 以 是 对 组 织 信息 直接 或 间接 的 
攻击 ,如 非 授权 的 泄露 删除 ` 自 改 等 ,从 而 使 信息 资产 在 机 密 性 .可 用 性 或 完整 性 等 方面 造 
成 损害 ,也 可 能 源 自 偶然 或 蓄意 的 事件 。 

一 般 来 说 ,威胁 只 有 利用 系统 、 应 用 或 服务 的 弱点 才 有 可 能 对 资产 成 功 实施 破坏 。 威 胁 
被 定义 为 不 期 望 发 生 的 事件 ,这 些 事件 会 影响 业务 的 正常 运行 ,使 组 织 不 能 顺利 达成 其 最 终 
目标 。 一 些 威胁 是 在 已 存在 控制 措施 的 情况 下 发 生 的 ,这 些 控制 措施 可 能 是 没有 正确 配置 
或 超过 有 效 期 的 ,因此 为 威胁 进入 操作 环境 提供 了 机 会 ,这 个 过 程 就 是 通常 所 说 的 利用 漏洞 
的 过 程 。 安 全 事件 及 其 后 果 是 分 析 威 胁 的 重要 依据 ,但 是 有 一 部 分 威胁 发 生 时 ,由 于 未 对 系 
统 造成 危害 而 被 安全 管理 人 员 忽 略 , 导 致 对 安全 威胁 的 认识 出 现 偏 差 。 

威胁 发 生 的 可 能 性 受 以 下 两 方面 因素 影响 : 

(1) 资产 的 吸引 力 和 曝光 程度 .组 织 的 知名 度 ,这 主要 在 考虑 人 为 故意 威胁 时 使 用 。 

(2) 资产 转化 为 利润 的 容易 程度 ,包括 财务 的 利益 .黑客 的 能 力 很 强 和 带宽 很 大 的 主机 
的 使 用 权 等 利益 ,这 主要 在 考虑 人 为 因素 威胁 时 使 用 。 

1. 威胁 分 类 

在 对 威胁 进行 分 类 之 前 ,应 先 考虑 威胁 的 来 源 。 表 8. 6 列 出 了 一 系列 威胁 来 源 ,此 表 只 
是 一 种 威胁 来 源 表 , 不 能 认为 表 8.6 包含 了 全 部 的 威胁 来 源 。 
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表 8.6 威胁 来 源 
威胁 来 源 威胁 来 源 描述 
和 断 电 .雷击 .静电 、 灰 村 .潮湿 .温度 .电磁 干扰 .火灾 水灾. 地 震 、 鼠 由 虫害 .意外 
事故 等 环境 危害 或 自然 灾害 ,以 及 软 硬 件 数据、 通信 线路 的 故障 等 
”| 不 满 的 或 有 预谋 的 内 部 人 员 对 信息 系统 进行 恶意 破坏 ,采用 自主 或 内 外 勾结 的 
恶意 内 部 人 员 时 
方式 盗窃 机 密 信息 或 算 改 ,获取 利益 
内 部 人 员 缺 乏 责任 心 , 或 者 不 关心 和 不 专注 ,或 者 没有 遵守 规章 制度 和 操作 流 
人 | 非 恶 意 内 部 人 员 | 程 ,导致 故障 或 信息 损坏 ,或 内 部 人 员 缺 乏 培 训 、 专 业 技能 不 足 , 不 具备 岗位 技能 
六 要 求 而 导致 信息 系统 故障 或 被 攻击 
a 合作 伙伴 或 供应 商 , 包 括 移动 .电信 ,证券 .税务 等 业务 合作 伙伴 以 及 软件 开发 合 
作 商 .系统 集成 商 .服务 商 和 产品 提供 商 ,包括 第 三 方 恶意 和 非 恶 意 行为 
外 部 人 员 利 用 信息 系统 的 脆弱 性 ,对 网 络 或 系统 的 机 密 性 .完整 性 和 可 用 性 造成 
外 部 攻击 人 员 | 破坏 ,以 获取 利益 或 炉灶 能 力 


列 出 了 威胁 来 源 之 后 ,对 威胁 来 源 进 行 分 类 。 分 类 的 方式 有 多 种 , 表 8. 7 给 出 了 一 种 威 
胁 分 类 方法 。 


表 8.7 一 种 威胁 分 类 表 


威胁 分 类 威胁 分 类 描述 
物理 环境 断 电 .和 雷击. 静电、 灰尘 ,潮湿 温度、 电磁 干扰 、 火 灾 、 水 灾 、 地 震 、 鼠 蚁 虫害 、 意 外 
事故 等 对 信息 系统 造成 影响 的 物理 环境 或 自然 灾害 
软 硬 件 故 障 由 于 设备 硬件 故障 、 通 信 线 路 中 断 、 系 统 本 身 或 软件 缺陷 ,对 系统 运行 造成 影响 
恶意 代码 和 病毒 具有 自我 复制 和 传播 能 力 , 故 意 在 系统 上 执行 恶意 程序 的 程序 代码 
物理 攻击 物理 接触 ,物理 破坏 或 盗窃 
网 络 攻击 通过 黑客 手段 ,如 密码 猜测 、 缓 冲 区 溢出 、 安 装 后 门 . 嗅 探 ,拒绝 服务 等 对 信息 系 
统 进行 攻击 和 入侵 
无 作为 或 操作 失误 “| 该 执行 而 没有 执行 相应 操作 ,或 无 意 执行 错误 的 操作 对 系统 造成 影响 
管理 缺陷 安全 管理 无 法 落实 或 不 到 位 ,管理 不 规范 和 混乱 ,造成 信息 系统 造成 影响 
越权 或 滥用 访问 无 权 访问 的 资源 ,或 滥用 权限 ,使 信息 系统 受到 破坏 
将 机 密 信息 泄露 给 他 人 ,非法 修改 信息 ,破坏 系统 的 机 密 性 和 完整 性 ,不 承认 收 
下 到 信息 和 所 作 的 操作 和 交易 
2. 威胁 分 析 


在 对 威胁 进行 赋值 之 前 ,首先 需要 对 威胁 进行 分 析 , 威 胁 分 析 主 要 包括 以 下 内 容 。 

1) 潜在 威胁 分 析 

潜在 威胁 分 析 是 指 对 用 户 信息 系统 安全 方面 的 潜在 威胁 和 可 能 人 侵 做 出 全 面 的 分 析 。 
潜在 威胁 主要 是 指 根据 资产 的 脆弱 性 而 引发 的 安全 威胁 。 通 过 对 漏洞 的 进一步 分 析 , 可 以 
对 漏洞 可 能 引发 的 威胁 进行 赋值 ,赋值 主要 依据 威胁 发 生 的 可 能 性 和 造成 后 果 的 严重 性 。 
潜在 威胁 分 析 过 程 主要 基于 威胁 列表 和 统计 信息 。 

2) 威胁 审计 和 入 侵 检测 

威胁 审计 和 入 侵 检 测 是 指 利用 审计 和 技术 工具 对 组 织 面临 的 威胁 进行 分 析 。 威 胁 审 计 
是 指 利 用 审计 手段 发 现 组 织 曾经 发 生 过 的 威胁 并 加 以 分 析 。 威 胁 审计 的 对 象 主要 包括 组 织 
的 安全 事件 记录 故障 记录 、 系 统 日 志 等 。 威 胁 审计 的 过 程 中 包括 : 咨询 顾问 收集 历史 资 
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料 ; 寻找 异常 现象 ; 发 现 威胁 情况 并 编写 审计 报告 。 入 侵 检 测 主 要 是 指 利用 入 侵 检测 系统 
对 组 织 网 络 当 前 阶段 所 经 受 的 内 外 部 攻击 或 威胁 进行 分 析 。 在 入 侵 检测 过 程 中 ,操作 人 员 
需 编 写 检测 方案 ,然后 部 署 人 侵 检测 系统 ,对 来 自 内 外 部 的 攻击 行为 进行 检测 。 入 侵 检 测 完 
成 后 ,分 析 人 员 根 据 入 侵 检测 系统 的 日 志 完成 分 析 报 告 。 

3) 安全 威胁 综合 分 析 

安全 威胁 综合 分 析 是 对 前 两 项 分 析 结 果 进行 的 综合 分 析 , 以 便 给 出 全 面 的 威胁 分 析 报 
告 。 威 胁 分 析 报 告 的 内 容 与 信息 资产 存在 的 漏洞 相对 应 ,并 对 威胁 进行 相应 的 赋值 。 

3. 威胁 赋值 

评估 确定 威胁 发 生 的 可 能 性 是 威胁 评估 阶段 的 重要 工作 ,评估 者 应 根据 经 验 或 统计 数 
据 来 判断 威胁 发 生 的 概率 。 威 胁 发 生 的 可 能 性 受 以 下 因素 影响 。 

(1) 资产 的 吸引 力 。 

(2) 资产 转化 为 报酬 的 难 易 程 度 。 

(3) 威胁 源 的 技术 力量 和 所 掌握 的 资源 。 

(4) 脆弱 性 被 利用 的 难 易 程 度 。 

(5) 入侵 者 的 水 平 。 

(6) 信息 系统 的 管理 水 平 。 

在 实际 评估 中 ,还 需要 综合 考虑 以 下 3 个 方面 的 内 容 , 以 确定 在 特定 环境 中 各 种 威胁 出 
现 的 频率 。 

(1) 过 去 安全 事件 报告 或 记录 中 出 现 过 的 威胁 及 其 频率 的 统计 。 

(2) 实际 评估 环境 中 通过 检测 工具 以 及 各 种 日 志 发 现 的 威胁 及 其 频率 的 统计 。 

(3) 过 去 一 年 来 国际 机 构 发 布 的 对 于 整个 社会 和 特定 行业 的 安全 威胁 发 生 频 率 的 统计 
以 及 威胁 预警 。 

表 8. 8 是 一 种 威胁 出 现 频率 的 赋值 表 。 在 实际 评估 中 ,威胁 频率 的 判断 依据 应 在 评估 
准备 阶段 根据 历史 统计 或 行业 判断 予以 确定 ,并 得 到 被 评估 方 的 认可 。 

表 8.8 威胁 赋值 表 
赋值 | 标识 威胁 可 能 性 定义 

1 | 可 忽略 | 威胁 几乎 不 可 能 发 生 , 仅 可 能 在 非常 军 见 的 情况 下 发 生 

2 | 低 威胁 发 生 的 可 能 性 较 低 , 一 般 不 可 能 发 生 , 或 没有 被 证 实 发 生 过 
威胁 发 生 的 可 能 性 中 等 ,至 少 半年 发 生 一 次 ,或 在 某 种 情况 下 可 能 会 发 生 ,但 未 被 证 


实 发 生 过 

机 高 威胁 发 生 的 可 能 性 较 高 ,至少 每 月 一 次 ,或 在 大 多 数 情况 下 都 可 能 会 发 生 , 或 可 以 证 
实 多 次 发 生 过 

四 很 高 威胁 发 生 的 可 能 性 很 高 ,至 少 每 周一 次 ' 或 在 大 多 数 情况 下 几乎 不 可 能 避免 ,或 者 可 
以 被 证 实 经 常 发 生 


8.4.5 脆弱 性 识别 


脆弱 性 识别 也 成 为 弱点 评估 ,脆弱 性 是 资产 本 身 存在 的 , 它 可 以 被 相应 的 威胁 利用 , 引 
起 资产 或 商业 目标 的 损害 。 弱 点 包括 物理 环境 、 组 织 过 程 、 人 员 管理 配置、 软 硬件 和 信息 
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等 各 种 资产 的 脆弱 性 。 

单纯 的 脆弱 性 本 身 不 会 对 资产 造成 损害 , 它 只 是 一 种 条 件 或 环境 ,可 能 导致 被 威胁 利用 
造成 资产 损失 。 如 果 系 统 足 够 强健 ,严重 的 威胁 也 不 会 导致 安全 事件 发 生 ,并 造成 损失 。 所 
以 威胁 总 是 要 利用 资产 的 脆弱 性 才 可 能 造成 危害 。 资 产 的 脆弱 性 具有 隐蔽 性 ,有 些 脆弱 性 
只 有 在 一 定 条 件 和 环境 下 才能 显现 ,这 是 脆弱 性 识别 中 最 为 困难 的 部 分 。 不 正确 的 ,起 不 到 
应 有 作用 的 或 没有 正确 实施 的 安全 措施 本 身 就 可 能 是 一 个 脆弱 性 。 

脆弱 性 识别 是 风险 评估 中 最 重要 的 一 个 环节 。 脆 弱 性 识别 可 以 以 资产 为 核心 ,针对 每 
一 项 需要 保护 的 资产 ,识别 可 能 被 威胁 利用 的 弱点 ,并 对 脆弱 性 的 严重 程度 进行 评估 ,也 可 
以 从 物理 、 网 络 .系统 和 应 用 等 层次 进行 识别 ,然后 与 资产 ,威胁 对 应 起 来 。 脆 弱 性 识别 的 依 
据 是 国际 或 国家 安全 标准 和 行业 规范 .应 用 流程 的 安全 要 求 。 

脆弱 性 评估 是 指 通过 技术 检测 .实验 和 审计 等 方法 ,寻找 信息 资产 中 可 能 存在 的 弱点 ， 
并 对 弱点 的 严重 性 进行 赋值 。 在 进行 脆弱 性 评估 时 ,提供 的 数据 应 来 自 于 这 些 资产 的 拥有 
者 或 使 用 者 ,以 及 相关 业务 领域 的 专家 和 软 硬 件 信 息 系统 方面 的 专业 人 员 。 脆 弱 性 评估 采 
用 的 方法 主要 为 工具 扫描 、 手 动 审查 .渗透 测试 .文档 审查 .人 员 询 问 和 问卷 调查 等 。 

1. 脆弱 性 分 类 

脆弱 性 主要 从 技术 和 管理 两 个 方面 进行 识别 ,技术 脆弱 性 涉及 物理 层 、 网 络 层 、 系 统 层 、 
应 用 层 等 各 个 层面 的 安全 问题 ,管理 脆弱 性 可 分 为 技术 管理 脆弱 性 和 组 织 管理 脆弱 性 两 方 
面 。 对 不 同 的 识别 对 象 ,其 脆弱 性 识别 的 具体 要 求 应 参照 相应 的 技术 或 管理 标准 实施 。 对 
技术 脆弱 性 ,主要 是 通过 本 地 和 远程 两 种 方式 进行 系统 扫描 、 对 网 络 设备 和 主机 进行 人 工 抽 
查 , 保 证 技术 脆弱 性 的 有 效 性 和 全 面 性 。 管 理 脆弱 性 识别 可 按照 GB/T 22081-2008《 信 息 技 
术 安全 技术 信息 安全 管理 实用 规则 》 对 现 有 的 安全 管理 制度 及 其 执行 情况 进行 检查 ,发 现 
其 中 的 漏洞 和 不 足 。 

表 8.9 给 出 了 一 种 脆弱 性 分 类 表 。 

表 8.9 脆弱 性 分 类 表 


脆弱 性 分 类 识别 对 象 包含 内 容 
物理 环境 Wat 
基础 网 络 架构 网络 传输 加 密 、 访 问 控 制 策略 、 网 络 设备 安全 漏洞 和 安 
网 络 结构 
技术 脆弱 性 全 配置 等 方面 
系统 软件 系统 及 应 用 软件 的 安全 漏洞 物理 保护 、 系 统 软 件 配 置 安全 、 软 件 安全 


功能 \ 数 据 防护 、 系 统管 理 等 方面 

应 用 系统 的 协议 安全 数据 完整 性 .访问 控制 审计、 鉴别 机 制 . 通 信 、 密 
码 保护 等 方面 

技术 管理 物理 和 环境 安全 ,通信 和 与 操作 管理 ,访问 控制 ,系统 开发 与 维护 ,业务 连 
管理 脆弱 性 续 性 等 方面 

组 织 管理 | 安全 策略 、 组 织 安全 、 资 产 分 类 与 控制 .人 员 安 全 ,符合 性 等 方面 


应 用 系统 


2. 脆弱 性 赋值 
脆弱 性 的 严重 性 主要 是 指 可 能 引发 的 影响 的 严重 性 ,因此 与 影响 密切 相关 。 关 于 技术 
脆弱 性 的 严重 性 ,一般 都 是 指 可 能 引发 的 影响 的 严重 性 ,通常 将 之 分 为 低 、 中 、 高 3 个 等 级 。 
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1) 低 等 级 

一 般 指 配置 不 规范 、 信 息 泄露 等 ,可 能 会 导致 一 些 非 机 密 性 信息 泄露 非 严重 滥用 和 误 
用 等 不 太 严重 的 影响 。 

2) 中 等 级 

介 于 低 等 级 和 高 等 级 之 间 的 脆弱 性 ,一 般 不 能 直接 被 威胁 利用 ,需要 和 其 他 弱点 组 合 后 
才能 产生 影响 。 如 果 可 以 直接 被 威胁 利用 ,只 能 产生 中 等 影响 。 

3) 高 等 级 

可 能 导致 超级 用 户 权限 被 获取 、 机 密 系统 文件 被 读 写 和 系统 崩溃 等 严重 损害 的 影响 。 

脆弱 性 评估 针对 每 一 项 需要 保护 的 资产 , 找 出 每 一 种 威胁 可 能 利用 的 脆弱 性 ,对 脆弱 性 
的 严重 程度 进行 评估 ,采用 等 级 方式 对 已 识别 的 脆弱 性 的 严重 程度 进行 赋值 。 

对 某 个 资产 ,其 技术 脆弱 性 的 严重 程度 还 受到 组 织 管理 脆弱 性 的 影响 。 因 此 ,资产 的 脆 
弱 性 赋值 还 应 参考 技术 管理 和 组 织 管理 脆弱 性 的 严重 程度 。 

在 实际 工作 过 程 中 ,可 采用 以 下 等 级 划分 标准 , 即 把 资产 的 脆弱 性 严重 程度 分 为 5 个 等 
级 ,分 别 为 可 忽略 、 低 、 中 等 高 ,很 高 ,并 且 从 低 到 高 分 别 赋值 为 1~5, 如 表 8. 10 所 示 。 

在 实际 评估 过 程 中 ,技术 性 弱点 的 严重 性 值 一 般 参考 扫描 器 中 的 值 ,并 做 适当 修正 ,以 
获得 适用 的 弱点 严重 性 值 。 

脆弱 性 评估 可 以 分 别 在 管理 和 技术 两 个 层面 上 进行 ,主要 包括 技术 弱点 检测 网 络 架构 
与 业务 流程 分 析 、 策 略 与 安全 控制 实施 审计 安全 弱点 综合 分 析 等 。 

表 8.10 脆弱 性 严重 程度 赋值 表 
赋值 | 标识 说 明 

该 弱点 车 被 威胁 利用 ,对 资产 造成 的 损失 可 以 忽略 ,对 业务 基本 无 损害 、 只 造成 轻微 
或 可 忽略 的 影响 
2 | 低 该 弱点 若 被 威胁 利用 ,对 资产 造成 较 小 的 损失 并 立即 可 以 控制 影响 
3 “| 中 等 | 该 弱点 车 被 威胁 利用 ,对 资产 造成 中 等 损失 、 业 务 受 到 中 等 程度 的 影响 
4 | 高 该 弱点 车 被 威胁 利用 ,对 资产 造成 重大 损失 、 业 务 中 断 等 严重 的 影响 


该 弱点 车 被 威胁 利用 ,可 造成 资产 全 部 损失 或 不 可 用 ,持续 业务 中 断 等 非常 严重 的 
影响 


8.4.6 已 有 安全 措施 识别 与 确认 


控制 措施 是 在 技术 ,管理 和 法 律 方面 的 管理 风险 的 方法 。 包 括 策略 程序 .指南 .实践 或 
组 织 结构 。 控 制 措施 的 目的 是 减少 意外 事件 的 发 生 或 降低 意外 事件 发 生 后 的 影响 。 

在 识别 脆弱 性 的 同时 ,评估 人 员 应 对 已 采取 的 安全 控制 措施 进行 识别 ,并 对 其 有 效 性 进行 
确认 ,将 有 效 的 安全 措施 继续 保持 ,以 避免 不 必要 的 工作 和 费用 ,防止 安全 措施 的 重复 实施 。 对 
确认 为 不 适当 的 安全 措施 应 检查 是 否 应 被 取消 ,或 对 其 进行 修正 ,或 用 更 合适 的 安全 措施 替代 。 

安全 措施 可 以 分 为 预防 性 安全 措施 和 保护 性 安全 措施 两 种 。 预 防 性 安全 措施 可 以 降低 
威胁 发 生 的 可 能 性 ,如 入 侵 检测 系统 。 保 护 性 安全 措施 可 以 减少 因 安全 事件 发 生 对 系统 造 
成 的 影响 ,如 业务 持续 性 计划 .商业 保险 等 。 

对 已 有 安全 措施 进行 确认 ,不 能 简单 了 解 使 用 了 哪些 安全 产品 或 方法 ,应 该 从 信息 系统 
的 各 个 层次 对 已 有 的 安全 机 制 进 行 确认 ,确认 其 安全 强度 是 否 达到 了 系统 安全 要 求 。 一 般 
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来 说 ,安全 措施 的 使 用 将 减少 系统 技术 或 管理 上 的 脆弱 性 ,但 安全 措施 确认 并 不 需要 具体 到 每 
个 资产 或 组 件 的 脆弱 性 ,而 是 一 类 具体 措施 的 集合 ,为 风险 处 理 计 划 的 制定 提供 依据 和 参考 。 


8.4.7 风险 分 析 阶 段 


在 完成 资产 识别 .威胁 识别 .脆弱 性 识别 ,以 及 对 已 有 安全 措施 的 识别 和 确认 后 ,应 进入 
风险 分 析 阶 段 。 风 险 分 析 的 阶段 的 主要 任务 是 风险 分 析 和 计算 。 

风险 分 析 是 根据 资产 识别 .威胁 识别 .脆弱 性 识别 的 结果 ,计算 实际 的 风险 值 。 风 险 分 
析 工 作 中 ,要 对 已 有 安全 措施 进行 评价 ,在 此 基础 上 提出 对 风险 处 置 的 具体 建议 。 风 险 处 置 
的 具体 行为 并 不 是 风险 评估 的 组 成 部 分 ,它们 共同 组 成 了 风险 管理 活动 。 

在 完成 了 资产 识别 .威胁 识别 ,脆弱 性 识别 ,以 及 已 有 安全 措施 确认 后 ,将 采用 适当 的 方 
法 与 工具 确定 威胁 利用 脆弱 性 导致 安全 事件 发 生 的 可 能 性 。 综 合 安全 事件 所 作用 的 资产 价 
值 及 脆弱 性 的 严重 程度 ,判断 安全 事件 造成 的 损失 对 组 织 的 影响 。 

1. 风险 计算 

风险 可 用 下 面 的 函数 表示 : 

及 三 RA Ts VC 

其 中 ,R 表示 风险 ,A 表示 资产 ,T 表示 威胁 ,V 表示 脆弱 性 ,C 表示 控制 措施 。 但 就 计 
算 方法 而 言 ,并 没有 成 熟 的 方法 。 下 面 介 绍 一 种 风险 计算 方法 。 

风险 的 计算 方法 以 下 面 的 范式 形式 化 加 以 说 明 。 

M= F(A,T,V) = F(P(T,V),S(la, Va)) 

其 中 ,M 表示 风险 值 ,F 表示 安全 风险 计算 函数 ,A 表示 资产 ,TT 表示 威胁 ,V 表示 脆弱 
性 ,P 表 示威 胁 利用 资产 的 脆弱 性 导致 安全 事件 的 可 能 性 ,Ta 表示 安全 事件 所 作用 的 资产 
价值 ,Va 表示 脆弱 性 严重 程度 ,S 表示 安全 事件 发 生 后 造成 的 损失 。 具 体 可 分 为 3 步 。 

1) 计算 安全 事件 发 生 的 可 能 性 

根据 威胁 出 现 频率 及 脆弱 性 的 状况 ,计算 威胁 利用 脆弱 性 导致 安全 事件 发 生 的 可 能 
性 , 即 

安全 事件 发 生 的 可 能 性 = 已 ( 威 胁 出 现 频率 ,脆弱 性 )=PCT,V) 

在 具体 评估 中 ,应 综合 攻击 者 技术 能 力 、 脆 弱 性 被 利用 的 难 易 程度 和 资产 吸引 力 等 因素 
来 判断 安全 事件 发 生 的 可 能 性 。 攻 击 者 技术 能 力 包括 专业 技术 程度 、 攻 击 设备 等 ,脆弱 性 被 
利用 的 难 易 程度 包括 可 访问 时 间 、 设 计 和 操作 知识 公开 程度 等 。 

2) 计算 安全 事件 发 生 后 造成 的 损失 

根据 资产 价值 及 脆弱 性 严重 程度 ,计算 安全 事件 一 旦 发 生 后 造成 的 损失 , 即 

安全 事件 发 生 后 造成 的 损失 三 S( 资 产 价 值 ,脆弱 性 严重 程度 ) 一 S(CIa,Va) 

不 同安 全 事件 的 发 生 对 组 织 的 影响 也 不 同 。 部 分 安全 事件 的 发 生 造 成 的 损失 既 影 响 资 
产 本 身 , 又 影响 业务 的 连续 性 。 在 计算 某 个 安全 事件 的 损失 时 ,应 将 对 组 织 的 影响 考虑 在 
内 。 对 部 分 安全 事件 造成 的 损失 的 判断 还 应 参照 安全 事件 发 生 可 能 性 的 结果 ,对 发 生 可 能 
性 极 小 的 安全 事件 可 以 不 计算 其 损失 。 

3) 计算 风险 值 

根据 计算 出 的 安全 事件 的 可 能 性 以 及 安全 事件 造成 的 损失 ,计算 风险 值 , 即 

风险 值 M=F(P(T,V),S(Ia,Va)) 
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评估 者 可 根据 自身 情况 选择 相应 的 风险 计算 方法 计算 风险 值 ,如 矩阵 法 或 相 乘法 。 

2. 风险 结果 的 判定 

风险 结果 的 判定 就 是 风险 等 级 的 划分 。 确 定 风险 数值 的 大 小 不 是 组 织 风险 评估 的 最 终 
目的 ,重要 的 是 明确 不 同 威胁 对 资产 所 产生 的 风险 相对 值 , 即 要 确定 不 同 风 险 的 优先 次 序 和 
等 级 ,对 于 风险 级 别 高 的 资产 应 被 优先 保护 。 可 将 风险 等 级 分 为 5 级 ,等 级 越 高 ,风险 越 高 。 
评估 者 也 可 根据 被 评估 系统 的 实际 情况 自 定义 风险 等 级 。 表 8. 11 提供 了 一 种 风险 等 级 表 。 

表 8.11 风险 等 级 表 
风险 等 级 | 标识 风险 描述 


可 忽略 | 风险 很 低 ,对 系统 造成 的 影响 几乎 不 存在 ,通过 简单 措施 就 可 以 弥补 
低 风险 较 低 ,对 系统 造成 的 影响 较 低 ,通过 一 定 手段 很 快 能 解决 

中 等 ”| 风险 中 等 ,对 系统 造成 的 影响 中 等 

高 风险 较 高 ,对 系统 造成 的 影响 严重 ,在 一 定 范围 内 给 组 织造 成 损害 
很 高 风险 很 高 ,对 系统 造成 的 影响 非常 严重 ,严重 影响 组 织 运行 


四 | | oo 


风险 标准 必须 随 着 评估 方法 的 确定 实现 确定 ,并 在 组 织 的 信息 系统 安全 方针 文件 中 体 
现 出 来 。 在 确定 风险 的 可 能 性 和 影响 时 ,应 建立 一 个 评估 框架 ,通过 它 来 确定 风险 情况 ,还 
应 考虑 到 已 有 控制 措施 对 威胁 可 能 产生 的 阻碍 作用 。 , 
对 风险 进行 等 级 化 需要 对 可 能 性 和 影响 做 出 定义 ,将 啊 
可 能 性 和 影响 分 别 分 为 高 .中 、 低 3 个 等 级 ,用 直观 的 
和 矩阵 形式 来 描述 风险 评价 所 依赖 的 风险 的 标准 ,将 风 
险 定义 为 高 .中 、 低 等 级 风险 ,建立 概率 一 影响 矩阵 , 即 
风险 矩阵 ,如 图 8. 5 所 示 。 


风险 等 级 处 理 的 目的 是 在 风险 管理 过 程 中 对 不 同 可 谎 
风险 进行 直观 比较 ,以 确定 组 织 安 全 策略 。 组 织 应 当 国道 妈 际 


综合 考虑 风险 控制 成 本 与 风险 造成 的 影响 ,提出 一 个 
可 接受 的 风险 范围 。 某 些 资产 的 风险 ,如 果 风 险 计算 值 在 可 接受 的 范围 内 , 则 该 风险 是 可 接 
受 的 ,应 保持 已 有 的 安全 措施 ; 如 果 风 险 评估 值 在 可 接受 的 范围 外 , 即 风险 计算 值 高 于 可 接 
受 范围 的 上 限 值 , 则 该 风险 是 不 可 接受 的 ,需要 采取 安全 措施 以 降低 、 控 制 风 险 。 

3. 选择 控制 措施 

对 风险 等 级 进行 划分 后 ,应 考虑 法 律 法 规 ` 机 构 自身 的 发 展 等 要 求 以 及 风险 评估 的 结果 
确定 的 水 平 , 对 不 可 接受 的 风险 选择 适当 的 处 理 方式 制定 风险 处 理 计 划 。 风 险 处 理 计 划 中 
应 明确 采取 的 弥补 脆弱 性 的 安全 措施 .预期 效果 实施 条 件 、 进 度 安排 责任 部 门 等 。 风 险 处 
理 的 方式 包括 回避 风险 、 降 低 风 险 、 转 移 风 险 ,接受 风险 。 风 险 处 理 的 目的 是 直观 地 比较 风 
险 管理 过 程 中 的 不 同 风险 ,确定 组 织 的 安全 策略 。 组 织 应 综合 考虑 风险 控制 成 本 与 风险 造 
成 的 影响 ,提出 一 个 可 接受 的 风险 范围 。 

安全 措施 的 选择 应 从 管理 与 技术 两 个 方面 考虑 。 在 风险 处 理 方式 及 控制 措施 的 选择 
上 ,组 织 应 考虑 发 展 战略 ` 组 织 文化 人 员 素 质 等 ,并 特别 关注 成 本 和 风险 的 平衡 ,处 理 安全 
风险 以 满足 法 律 法 规 及 相关 方 的 要 求 。 安 全 措施 的 选择 与 实施 应 参照 信息 系统 安全 的 相关 
标准 进行 。 
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4. 残余 风险 的 评估 

在 对 于 不 可 接受 的 风险 选择 适当 安全 措施 后 ,要 对 残余 风险 进行 评估 ,以 判断 残余 风险 
是 否 已 经 降低 到 可 接受 的 水 平 。 残 余 风 险 的 评估 可 以 依据 组 织 风险 评估 的 准则 实施 ,考虑 
选择 的 控制 措施 和 已 有 的 控制 措施 对 于 威胁 发 生 的 可 能 性 的 降低 。 一 般 来 说 ,安全 措施 的 
实施 的 目的 是 减少 脆弱 性 或 降低 安全 事件 发 生 可 能 性 ,因此 ,残余 风险 的 评估 可 以 从 脆弱 性 
评估 开始 ,在 对 照 安 全 措施 实施 前 后 的 脆弱 性 状况 后 ,再 次 计算 风险 值 的 大 小 。 

某 些 风险 可 能 在 选择 了 适当 的 安全 措施 后 ,残余 风险 的 结果 仍 处 于 不 可 接受 的 风险 范 
围 内 ,应 考虑 是 否 接受 此 风险 或 进一步 增加 相应 的 安全 措施 。 


8.4.8 风险 评估 结果 的 文档 化 


风险 评估 的 过 程 需要 形成 相关 的 文件 和 记录 ,评估 过 程 得 到 的 所 有 结果 都 应 写 进 风险 
评估 报告 中 。 风 险 评估 报告 的 阅读 者 是 信息 资产 的 拥有 者 。 该 报告 将 帮助 高 层 管理 者 和 商 
业 运 营 者 在 策略 .商业 过 程 、 预 算 和 改进 管理 等 方面 做 出 合理 决策 。 

1. 文档 化 要 求 

记录 风险 评估 过 程 的 相关 文件 应 符合 以 下 基本 要 求 ,但 不 限于 这 些 要 求 。 

(1) 确保 文件 发 布 前 已 得 到 批准 ,确保 文件 是 充分 的 。 

(2) 必要 时 对 文件 进行 评审 ,更 新 并 再 次 批准 。 

(3) 确保 文件 的 更 改 和 现行 状态 可 识别 。 

(4) 确保 在 使 用 时 ,可 获得 有 关 版 本 的 适用 文件 。 

(5) 确保 文件 的 分 发 得 到 适当 的 控制 。 

(6) 确保 文件 保持 清晰 ,易于 识别 。 

(7) 防止 作废 文件 的 非 预期 使 用 , 若 因 某 种 目的 需 保 留 作废 文件 时 ,应 对 这 些 文件 进行 
适当 标识 。 

对 风险 评估 过 程 中 形成 的 相关 文件 ,还 应 规定 其 标识 .存储 、 保 护 、 检 索 、 保 存 期 限 以 及 
处 置 所 需 控 制 等 。 需 要 哪些 相关 文件 及 其 详 略 程度 由 管理 过 程 决定 。 

2. 风险 评估 文档 类 别 

风险 评估 文件 包括 在 整个 风险 评估 过 程 中 产生 的 评估 过 程 文档 和 评估 结果 文档 ,包括 
但 不 限于 以 下 基本 文档 。 

1) 风险 评估 准备 阶段 

(1) 风险 评估 计划 。 

该 计划 阐述 风险 评估 的 目标 .范围 .组 织 机 构 .评估 方 法 、 经 费 预 算 、. 进 度 安排 和 评估 结 

(2) 风险 评估 程序 。 

程序 中 应 明确 评估 的 目的 .职责 .工作 流程 .输入 数据 .输出 结果 、 相 关 文 档 及 其 要 求 , 以 
及 实施 本 次 评估 所 需要 的 各 种 资产 .威胁 .脆弱 性 识别 和 判断 依据 。 

2) 风险 因素 识别 阶段 

(1) 信息 资产 识别 清单 。 

根据 组 织 在 风险 评估 程序 文件 中 确定 的 资产 分 类 方法 进行 资产 识别 ,形成 信息 资产 识 
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别 清单 ,清单 中 应 明确 各 资产 的 责任 者 或 部 门 。 

(2) 重要 信息 资产 清单 。 

根据 资产 识别 和 赋值 结果 ,形成 重要 资产 清单 ,记录 重要 资产 的 名 称 、 描 述 、 类 型 .重要 
程度 .责任 者 或 部 门 等 。 

(3) 威胁 列表 。 

根据 组 织 的 评估 对 象 、 环 境 等 因素 ,形成 威胁 列表 ,包括 威胁 的 名 称 、 类 型 来源、 动机 、 
出 现 频 率 等 ,为 风险 评估 提供 支持 。 

(4) 脆弱 性 列表 。 

根据 脆弱 性 识别 和 赋值 结果 ,形成 脆弱 性 列表 ,包括 脆弱 性 的 名 称 、 类 型 .严重 程度 、 描 
述 等 。 

3) 风险 分 析 阶 段 

(1) 已 有 安全 措施 确认 表 。 

根据 已 有 安全 措施 的 确认 结果 ,形成 已 有 安全 措施 确认 表 , 包 括 已 有 安全 措施 的 名 称 、 
类 型 ,功能 描述 、 实 施 效果 等 。 

(2) 影响 程度 分 析 报 告 。 

从 资产 损失 和 人 员 伤 亡 等 方面 :分析 影 响 程度 的 大 小 。 

4) 风险 等 级 评价 阶段 

(1) 风险 评估 报告 。 

对 整个 风险 评估 过 程 和 结果 进行 总 结 , 说 明 组 织 的 风险 状况 和 残余 风险 状况 ,详细 说 明 
评估 对 象 .评估 方法 ,资产 .威胁 和 脆弱 性 的 识别 结果 、 风 险 分 析 、 风 险 统计 ,评估 结论 和 建议 
等 内 容 。 通 过 管理 层 的 评审 ,确定 评估 后 的 风险 状况 满足 组 织 业 务 发 展 及 相关 方 的 要 求 。 

(2) 风险 处 理 计 划 。 

组 织 应 针对 评估 结果 中 不 可 接受 的 风险 制定 风险 处 理 计划 ,选择 适当 的 控制 目标 和 安 
全 措施 ,明确 责任 、 进 度 、 资 源 ,并 通过 对 残余 风险 的 评价 确保 所 选 安全 措施 的 有 效 性 。 

(3) 风险 评估 记录 。 

根据 组 织 的 风险 评估 程序 文件 ,记录 对 重要 信息 资产 实施 的 风险 评估 过 程 。 要 求 风险 
评估 过 程 中 的 各 种 现场 记录 可 复 现 评估 过 程 。 记 录 应 包括 威胁 脆弱 性 的 赋值 及 风险 发 生 
可 能 性 的 计算 ,已 有 安全 措施 的 确认 ,风险 值 的 计算 与 等 级 划分 等 。 

上 述 文档 均 应 通过 组 织 管 理 层 的 批准 ,必要 时 应 得 到 最 高 管理 者 的 批准 。 


8.5 风险 评估 工具 


风险 评估 工具 是 风险 评估 的 辅助 手段 ,是 保证 风险 评估 结果 可 信 度 的 一 个 重要 因素 。 
风险 评估 离 不 开工 具 的 支持 ,好 的 评估 工具 会 给 风险 评估 带 来 极 大 的 科学 性 和 方便 性 。 风 
险 评估 工具 的 使 用 不 但 在 一 定 程度 上 解决 了 手动 评估 的 局 限 性 ,最 主要 的 是 它 能 够 将 专家 
知识 进行 集中 ,使 专家 的 经 验 知识 被 广泛 应 用 。 

根据 在 风险 评估 过 程 中 的 主要 任务 和 作用 原理 的 不 同 ,风险 评估 的 工具 可 以 分 成 风险 
评估 与 管理 工具 、 系 统 平台 风险 评估 工具 、 风 险 评 估 辅 助 工具 3 类 。 系 统 基础 平台 风险 评估 
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工具 主要 用 于 对 信息 系统 的 主要 部 件 (如 操作 系统 ,数据库 系 统 、 网 络 设备 等 ) 的 脆弱 性 进行 
分 析 ,或 实施 基于 脆弱 性 的 攻击 。 风 险 评估 辅助 工具 则 实现 对 数据 的 采集 、 现 状 分 析 和 趋势 
分 析 等 单项 功能 ,为 风险 评估 各 要 素 的 赋值 . 定 级 提供 依据 。 


8.5.1 风险 评估 管理 工具 


1. 工具 概述 

风险 评估 管理 工具 是 一 套 集成 了 风险 评估 各 类 知识 和 判断 依据 的 管理 信息 系统 ,以 规 
范 风 险 评估 的 过 程 和 操作 方法 。 风 险 评估 管理 工具 也 可 以 用 于 收集 评估 所 需要 的 数据 和 资 
料 , 基 于 专家 经 验 , 对 输入 输出 进行 模型 分 析 。 

风险 评估 管理 工具 大 部 分 是 基于 某 种 标准 方法 或 某 组织 自 行 开发 的 评估 方法 ,可 以 有 
效 地 通过 输入 数据 来 分 析 风 险 ,给 出 对 风险 的 评价 并 推荐 控制 风险 的 安全 措施 。 

风险 评估 管理 工具 实现 了 对 风险 评估 全 过 程 的 实施 和 管理 ,包括 被 评估 信息 系统 基本 
信息 获取 ` 资 产 ,威胁 和 脆弱 性 的 识别 .风险 计算 .评估 过 程 与 评估 结果 管理 等 功能 。 评 估 可 
以 通过 问卷 的 方式 ,也 可 以 通过 结构 化 的 推理 过 程 ,建立 模型 ,输入 相关 信息 ,得 出 评估 结 
论 。 通常 这 类 工具 在 对 风险 进行 评估 后 都 会 有 针对 性 地 提出 风险 控制 措施 。 

根据 实现 方法 的 不 同 , 风 险 评估 管理 工具 可 以 分 为 3 类 。 

1) 基于 国际 或 国内 标准 的 风险 评估 管理 工具 

国际 和 国内 存在 多 种 不 同 的 风险 分 析 标 准 或 指南 ,不 同 的 风险 分 析 方法 侧重 点 不 同 ,以 
这 些 标准 或 指南 的 内 容 为 基础 ,分 别 开 发 相应 的 评估 工具 ,完成 遵循 标准 或 指南 的 风险 评估 
过 程 。 

2) 基于 知识 的 风险 评估 管理 工具 

基于 知识 的 风险 评估 管理 工具 遵循 某 个 单一 的 标准 或 指南 ,并 综合 各 种 风险 分 析 方 法 ， 
结合 实践 经 验 ,形成 风险 评估 知识 库 ,完成 综合 评估 。 

3) 基于 模型 的 风险 评估 管理 工具 

基于 模型 的 风险 评估 管理 工具 在 对 系统 的 组 成 部 分 .安全 要 素 充 分 分 析 的 基础 上 ,对 系 
统 资产 .威胁 和 脆弱 性 建立 量化 或 半 量 化 的 模型 。 根 据 采集 信息 的 输入 ,得 到 评估 的 结果 。 

2. 工具 示例 

根据 以 上 对 风险 评估 管理 工具 的 分 析 , 列 出 几 种 流行 的 风险 评估 管理 工具 。 

1) COBRA 

COBRA 是 由 C&A 系统 安全 在 1991 年 推出 的 用 于 风险 评估 的 工具 。COBRA 由 一 系 
列 风 险 分 析 、 咨 询 和 安全 评价 工具 组 成 ,提供 了 一 个 完整 的 风险 分 析 服 务 ,并 且 兼 容许 多 风 
险 评估 方法 ,如 定性 风险 评估 和 定量 风险 评估 等 。COBRA 可 看 作 是 基于 专家 系统 和 知识 
库 的 问卷 系统 , 它 对 所 有 的 威胁 和 脆弱 性 进行 评估 ,并 给 出 合适 的 解决 方案 。 它 还 对 每 个 风 
险 类 别提 供 风 险 等 级 和 风险 分 析 报 告 。 

2) CRAMM 

CRAMM 是 由 英国 中 央 计算 机 与 电信 和 机构 (CCTA ) 的 ITIL 批准 ,由 Insight Consulting 在 
1985 年 开发 的 ,后 来 又 开发 出 几 个 主要 版 本 。CRAMM 是 结构 化 的 包含 在 软件 包 中 的 过 
程 ,用 于 评估 信息 系统 风险 ,并 找 出 合适 的 解决 方法 。CRAMM 的 评估 结果 是 对 当前 风险 
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和 建议 的 分 析 。 

3) CORAS 

CORAS 于 2003 年 推出 , 它 集 成 了 大 量 的 风险 分 析 方 法 和 模型 .可 复 用 经 验 包 、 支 持 方 
法 应 用 的 自动 工具 ,并 提供 风险 评估 知识 库 和 经 验 包 知识 库 。CORAS 在 描述 评估 目的 时 
利用 UML 语言 ,交换 风险 评估 数据 时 利用 XML 语言 。 

4) @RISK 

@RISK 是 Palisade Corporation 推出 的 风险 分 析 工 具 , 它 不 是 主要 针对 信息 系统 安全 
风险 评估 而 设计 的 工具 。 它 主要 用 于 商业 风险 分 析 ,为 决策 者 提供 策略 等 方面 的 分 析 。 

此 外 ,还 有 多 种 风险 评估 管理 工具 ,此 处 不 再 袭 述 。 


8.5.2 信息 基础 设施 风险 评估 工具 


信息 基础 设施 风险 评估 工具 主要 用 于 对 一 些 信息 系统 的 部 件 , 如 操作 系统 、 数 据 库 系 
统 、 网 络 设备 等 的 漏洞 进行 分 析 , 它 包括 脆弱 性 评估 工具 和 渗透 性 测试 工具 。 脆 弱 性 评估 工 
具 也 称 为 安全 扫描 器 或 漏洞 扫描 器 等 ,主要 识别 网 络 和 主机 系统 脆弱 性 。 这 些 工具 能 够 发 
现 软件 和 硬件 中 已 知 的 安全 漏洞 ,以 决定 系统 是 否 易 受 已 知 攻击 的 影响 。 这 些 工具 能 够 扫 
描 网 络 、 服 务 器 .路 由 器 ,防火 墙 和 应 用 程序 ,并 发 现 其 中 的 漏洞 。 

渗透 性 测试 工具 是 根据 漏洞 扫描 工具 提供 的 漏洞 进行 模拟 攻击 测试 ,判断 这 些 漏洞 是 
和 否 能 被 非法 访问 者 利用 的 。 这 类 工具 通常 包括 黑客 工具 和 脚本 文件 用 于 检测 已 发 现 的 漏洞 
是 否 会 给 系统 带 来 影响 。 通 常 渗透 性 工具 与 漏洞 扫描 工具 一 起 使 用 ,用 于 评估 系统 的 深层 
次 问题 。 

比较 常用 的 信息 基础 设施 风险 评估 工具 包括 ISS Internet Scanner、Nessus、SAINT 等 。 
在 进行 评估 时 , 可 以 针对 被 评估 对 象 的 运行 环境 选择 不 同 的 工具 。 


8.5.3 风险 评估 辅助 工具 


这 种 工具 在 风险 评估 过 程 中 必 不 可 少 , 它 用 来 收集 评估 所 需要 的 资料 和 数据 ,这 些 数 据 
的 积累 是 风险 评估 科学 性 的 基础 。 利 用 辅助 工具 可 以 帮助 完成 现状 分 析 和 趋势 分 析 。 

最 常见 的 风险 评估 辅助 工具 是 入 侵 监 测 系统 , 它 通过 对 计算 机 网 络 或 系统 中 的 关键 点 
收集 信息 并 分 析 , 以 获取 可 能 对 网 络 或 系统 造成 危害 的 人 侵 攻击 事件 ,帮助 检测 各 种 攻击 试 
探 和 误 操作 ,同时 也 可 以 作为 一 个 警报 器 ,提醒 管理 员 发 生 的 安全 状况 。 

同时 安全 审计 工具 、 安 全 漏洞 库 、 知 识 库 都 是 风险 评估 不 可 或 缺 的 支持 手段 。 


8.6 风险 评估 方法 


当前 存在 着 许多 风险 评估 的 理论 ,这些 方法 遵循 了 基本 的 风险 评估 流程 ,在 具体 实施 手 
段 和 风险 计算 方法 上 各 不 相同 。 评 估 方 法 的 选择 直接 影响 到 评估 过 程 中 的 每 个 环节 ,需要 
根据 系统 的 具体 情况 ,选择 合适 的 风险 评估 方法 。 现 在 的 风险 评估 方法 有 很 多 ,可 大 致 分 为 
3 类 : 定性 风险 评估 、 定 量 风险 评估 和 综合 风险 评估 。 
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8.6.1 定性 风险 评估 方法 


定性 分 析 方法 是 采用 较 广 泛 的 一 种 风险 评估 方法 。 它 主要 依据 研究 组 的 知识 .经验 \ 政 
策 以 及 特殊 变 例 等 非 量 化 的 资料 对 系统 风险 状况 做 出 判断 的 过 程 。 该 方法 通常 只 关注 威胁 
事件 所 带 来 的 损失 ,而 忽略 事件 发 生 的 概率 。 多 数 定性 风险 分 析 依 据 组 织 面临 的 威胁 、 脆 弱 
性 以 及 安全 措施 等 因素 来 决定 风险 等 级 。 定 性 分 析 的 操作 方法 多 种 多 样 ,包括 小 组 讨论 、 检 
查 列表 .问卷 调查 人员 访 谈 等 ,在 此 基础 上 ,通过 一 个 理论 推断 演绎 的 分 析 框 架 做 出 调查 
结论 。 

与 定量 评估 方法 相 比 ,定性 评估 操作 起 来 相对 容易 , 它 没有 定量 评估 的 计算 负担 ,可 以 
挖掘 出 一 些 蕴 藏 很 深 的 思想 ,使 评估 的 结论 更 全 面 和 深刻 。 定 性 评估 所 需 的 时 间 、 费 用 和 人 
力 资 源 较 少 ,准确 性 也 稍 好 。 缺 点 是 主观 性 很 强 , 往 往 需要 凭借 分 析 者 的 经 验 和 直觉 ,或 者 
业界 的 标准 和 惯例 ,为 风险 管理 诸 要素 的 大 小 或 高 低 程度 定性 分 级 ,而且 分 析 的 结果 也 很 难 
统一 。 另 外 ,定性 评估 的 精确 性 也 不 够 。 

下 面 介绍 几 种 定性 风险 评估 方法 。 

1. 初步 风险 分 析 

初步 风险 分 析 (Preliminary Risk Analysis, PRA) 是 一 种 定性 分 析 方 法 , 它 用 于 定性 分 
析 事 件 序列 ,识别 出 哪些 事件 缺乏 安全 措施 ,这 些 潜在 危害 可 能 导致 事故 的 发 生 。 

通过 初步 风险 分 析 方 法 ,潜在 的 危险 事件 将 逐一 被 识别 出 来 ,然后 对 其 分 别 进行 分 析 与 
评估 。 对 每 个 危险 事件 或 危害 ,其 可 能 的 改进 或 预防 措施 将 被 明确 地 表达 出 来 。 

根据 初步 风险 分 析 方 法 产生 的 分 析 结 果 , 确 定 需要 进一步 调查 的 危害 以 及 分 析 方 法 ,为 
决策 提供 基础 。 根 据 风险 识别 和 风险 分 析 结 果 对 风险 进行 分 级 ,并 对 可 能 的 风险 控制 措施 
进行 优先 排序 。 

2. 危害 和 可 操作 研究 

危害 和 可 操作 性 研究 (Hazard and Operability study, HAZOP) 技 术 于 20 世纪 70 年 代 
由 英国 皇家 化 学 工业 有 限 公 司 提出 。HAZOP 分 析 是 由 专家 组 通过 “头脑 风暴 会 议 ” 来 进 
行 , 它 是 一 种 系统 潜在 危害 的 结构 化 检查 方法 。HAZOP 通过 对 新 的 或 已 有 的 设施 进行 系 
统 化 鉴定 和 检查 ,确定 系统 所 有 可 能 偏离 正常 设计 的 异常 运行 问题 ,并 分 析 这 种 偏离 正常 运 
行 的 原因 、 可 能 性 和 可 能 造成 的 后 果 及 后 果 的 严重 性 ,这 种 偏差 是 通过 将 一 系列 标准 的 引导 
词 应 用 到 正常 的 系统 设计 之 上 产生 的 ,并 最 终 影响 到 整个 设施 。 引 导 词 包括 是 / 否 (Yes/No)、 
大 于 /小 于 (More Than/Less Than) ,以 及 (As Well As) .相反 的 部 分 (Part of Reverse) 等 。 
分 析出 造成 偏差 的 原因 ,采取 适当 的 措施 防止 偏差 的 产生 就 可 以 防止 系统 失效 以 及 可 能 引 
起 的 后 果 。HAZOP 分 析 方 法 的 主要 目标 是 发 现存 在 的 问题 而 不 是 解决 问题 。 

3. 德尔 斐 法 

德尔 斐 法 是 一 种 定性 的 预测 方法 ,通过 群体 决策 咨询 的 方法 ,群体 成 员 各 自 独立 工作 ， 
以 系统 独立 的 方式 综合 判断 ,克服 某 些 权威 左右 的 缺点 ,减少 调查 对 象 的 心理 压力 ,使 预测 
的 可 靠 性 增加 。 德 尔 斐 法 的 群体 成 员 以 非 面对面 的 方式 交流 。 德 尔 斐 法 进行 风险 分 析 的 步 
又 如 下 : 

(1) 明确 风险 之 后 ,群体 成 员 填 写 精心 设计 的 问卷 ,提出 可 能 解决 问题 的 方案 ,每 个 群 
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体 成 员 匿 名 并 独立 完成 第 一 份 问 卷 。 

(2) 把 第 一 次 问卷 调查 的 结果 在 另 一 个 中 心地 点 整理 出 来 ,把 整理 出 来 的 结果 分 发 给 
每 个 人 。 
(3) 群体 成 员 看 分 析 整 理 结果 ,再 次 提出 解决 问题 的 方案 ,使 原 有 的 方案 得 到 改善 ,或 
发 现 新 的 解决 方法 。 

(4) 如 果 有 必要 ,重复 步骤 (2) 和 步骤 (3) ,直到 发 现 合适 的 解决 方法 。 

德尔 斐 法 在 评估 分 析 过 程 中 ,保证 群体 成 员 不 受 他 人 影响 ,但 是 这 种 方法 需要 占用 大 量 
时 间 ,在 需要 快速 做 出 决策 的 情况 下 ,此 方法 不 再 适用 。 

4. 故障 模式 影响 及 危害 性 分 析 

故障 模式 影响 及 危害 性 分 析 (Fault Mode Effect and Criticality Analysis,FMECA) ,于 
20 世纪 50 年 代 由 美国 可 靠 性 工程 研究 所 提出 ,用 于 确定 因 军 事 系 统 故 障 而 产生 的 问题 。 

FMECA 由 两 部 分 工作 组 成 : 故障 模式 影响 分 析 (Fault Mode and Effect Analysis， 
FMEA) 和 和 危害 性 分 析 (Criticality Analysis,CA)。FMECA 是 一 种 可 靠 性 .安全 性 、. 维 修 性 、 
保障 性 分 析 与 设计 技术 , 它 是 一 种 自 底 而 项 的 评估 方法 , 按 规定 的 规则 记录 系统 设计 中 所 有 
可 能 的 故障 模式 ,通过 对 系统 中 每 个 潜在 的 故障 模式 进行 分 析 , 以 确定 它 对 系统 的 影响 ,并 
按 影响 的 严重 程度 进行 分 类 。FMECA 提出 可 能 采取 的 改进 措施 ,消除 或 减少 故障 发 生 的 
可 能 性 ,提供 系统 的 可 靠 性 和 安全 性 。 


8.6.2 定量 风险 评估 方法 


定量 评估 方法 是 一 种 比较 精确 的 风险 评估 方法 ,通常 以 数学 形式 进行 表达 。 当 资料 比 
较 充分 或 者 风险 对 信息 资产 的 危害 性 可 能 很 大 、 确 有 必要 时 可 采用 定量 风险 评估 方法 。 定 
量 评估 方法 对 构成 风险 的 各 个 要 素 和 潜在 损失 的 水 平 赋 以 数值 , 当 度 量 风险 的 所 有 要 素 都 
被 赋值 ,风险 评估 的 整个 过 程 和 结果 就 可 以 进行 量化 。 

进行 定量 风险 评估 的 成 本 一 般 比 较 高 。 定 量 评估 方法 的 优点 是 用 直观 的 数据 来 表述 评 
估 的 结果 ,而 且 比 较 客观 ,精确 性 好 。 定 量 分 析 方 法 的 采用 ,可 以 使 研究 结果 更 科学 、 更 严 
密 、 更 深刻 。 缺 点 是 常常 为 了 量化 ,使 本 来 比较 复杂 的 事物 简单 化 .模糊 化 ,有 的 风险 因素 被 
量化 以 后 还 可 能 被 误解 和 曲解 ,分 析 的 准确 性 可 能 较 差 , 需 要 大 量 的 统计 数据 ,操作 复杂 , 计 
算 量 较 大 。 

下 面 介绍 几 种 常用 的 定量 评估 方法 。 

1. 模糊 综合 评价 风险 评估 法 

模糊 综合 评价 是 利用 模糊 数学 中 模糊 线性 变换 原理 和 最 大 隶属 度 原则 ,考虑 与 被 评价 
事物 相关 的 各 个 因素 ,对 其 做 出 合理 的 综合 评价 。 它 是 一 种 用 定量 的 方法 解决 不 确定 不 完 
全 信息 的 评价 方法 ,其 最 大 特点 是 可 以 比较 自然 地 处 理 人 类 思维 的 主动 性 和 模糊 性 。 此 方 
法 特别 适合 解决 那些 只 能 用 模糊 的 、 非 定量 的 、 难 以 明确 定义 的 实际 问题 。 该 种 评估 方法 的 
着 眼 点 是 所 考虑 的 各 个 相关 因素 。 

2. 基于 人 工 神经 网 络 风险 评估 法 

人 工 神 经 网 络 (ANN) 是 模拟 人 脑 结构 和 思维 过 程 ,是 一 个 高 度 自 适应 的 非 线 性 动态 系 
统 ,具有 记忆 人 能力、 自学 习 能 力 和 联想 能 力 ,优点 是 人 工 干预 少 ,精度 较 高 ,对 专家 知识 的 依 
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赖 较 少 。 主 要 用 于 解决 不 确定 性 、 非 结构 性 问题 。 神 经 网 络 中 应 用 的 最 为 广泛 的 是 BP 神 
经 网 络 及 其 相应 的 组 合 网 络 ,其 特性 是 结构 简单 ,可 操作 性 强 。 

下 面 列 出 几 种 基于 人 工 神经 网 络 法 评估 方法 。 

1) 基于 BP 神经 网 络 的 评估 方法 

反 向 传播 神经 网 络 (BP) 是 一 种 按 误差 反 向 传播 算法 训练 的 多 层 前 馈 网 络 ,是 目前 应 用 
最 成 熟 的 神经 网 络 模型 之 一 。 数 学 理论 已 证 明 BP 神经 网 络 具 有 任意 精度 的 酚 数 逼近 能 
力 ,所 以 , 它 为 信息 系统 安全 风险 评估 提供 了 一 种 可 行 的 构造 和 表示 方式 。BP 神经 网 络 是 
通过 对 所 要 解决 的 问题 的 知识 存储 以 及 对 样本 的 学 习 训 练 , 不 断 改变 网 络 的 连接 权 值 以 及 
连接 结构 ,从 而 使 网 络 的 输出 接近 期 望 的 输出 的 方法 。 这 种 方法 的 本 质 是 对 神经 网 络 中 的 
可 变 权 值 的 动态 调整 。 

基于 神经 网 络 的 信息 系统 安全 风险 评估 采用 单 隐 含 层 的 BP 神经 网 络 , 其 拓扑 结构 为 
输入 层 、 隐 含 层 和 输出 层 。 它 的 输入 表示 为 特征 量 , 即 风险 因素 的 各 个 评价 指标 ,将 这 些 指 
标 经 过 量化 处 理 和 一 致 性 处 理 后 ,作为 BP 神经 网 络 的 输入 量 。 经 过 BP 神经 网 络 的 学 习 算 
法 ,网 络 的 输出 特征 量 作为 风险 因素 的 风险 级 别 。BP 神经 网 络 的 激励 函数 可 以 采用 
Sigmoid 函数 , 隐 含 层 单元 数 在 训练 过 程 中 通过 误 判 率 的 大 小 确定 。 

2) 模糊 神经 网 络 评估 方法 

模糊 神经 网 络 是 模糊 理论 与 神经 网 络 相 结合 的 产物 。 神 经 网 络 的 神经 元 不 仅 具 有 普通 
神经 元 的 功能 ,同时 又 能 反映 神经 元 的 模糊 性 质 ,具有 模糊 信息 处 理 能 力 。 模 糊 概 念 与 神经 
网 络 相 结合 ,将 神经 元 输入 引入 模糊 隶属 度 的 概念 ,神经 元 仍 保留 原 有 形态 和 特性 ,输出 层 
代表 风险 值 的 大 小 。 基 于 模糊 神经 网 络 的 信息 系统 安全 风险 评估 法 减少 了 人 为 因素 的 干 
扰 , 评 价 更 加 客观 。 

3) 小 波 神经 网 络 评估 方法 

小 波 神经 网 络 将 小 波 与 BP 神经 网 络 相 融合 。 基 于 小 波 神经 网 络 的 信息 系统 风险 评估 
采用 单 隐 含 层 的 小 波 神经 网 络 模型 ,将 神经 网 络 的 输入 表示 为 特征 量 , 即 风险 因素 的 各 个 评 
价 指标 经 量化 和 一 致 性 处 理 后 的 量化 值 , 经 过 小 波 神经 网 络 的 学 习 算 法 ,网络 的 输出 特征 量 
为 风险 因素 的 风险 级 别 。 

3. 灰色 系统 理论 

灰色 系统 理论 是 我 国 华中 工学 院 学 者 邓 聚 龙 教 授 于 1982 年 创立 。 灰 数 是 指 缺 少 相 关 
信息 而 在 区 间 上 不 确定 的 数 ,用 符号 ? 表示 。 相 对 而 言 , 已 知 确定 的 数 称 为 白 数 ,完全 不 知 
的 数 称 为 黑 数 。 灰 色 系统 将 一 切 随机 变量 看 作 在 一 定 范围 内 的 灰色 量 , 将 随机 过 程 看 作 是 
在 一 定 范围 内 变化 的 与 时 间 有 关 的 灰色 过 程 。 对 灰色 量 的 处 理 不 是 从 统计 规律 的 角度 通过 
大 样本 量 进行 研究 ,而 是 用 数据 处 理 的 方法 将 杂乱 的 原始 数据 整理 成 规律 性 较 强 的 生成 数 
列 再 做 研究 。 

引入 白化 权 函 数 f(@)EL0,1], 其 中 (0 为 黑 ,1 为 白 ) ,以 通常 意义 的 灰 度 反映 灰 数 区 
间 各 点 的 不 确定 性 程度 ,其 函数 值 F(Q) 称 为 灰 数 @@ 的 白化 值 加 。 通 过 白化 权 函 数 , 可 以 对 
区 间 上 灰 数 进行 各 种 运算 。 应 用 灰色 系统 理论 可 以 建立 对 信息 系统 风险 评估 的 定量 评判 
算法 。 

灰色 系统 理论 评估 信息 系统 安全 风险 的 基本 步骤 可 以 概括 如 下 : 

(1) 用 累加 和 累 减 生成 法 处 理 原始 生成 数据 。 
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(2) 依据 生成 数据 建立 灰色 模型 。 
(3) 对 确定 的 模型 用 残 差 检验 法 、 后 验 差 检验 法 或 关联 度 检 验 法 检验 精度 。 
(4) 当 精 度 符合 要 求 时 ,可 用 灰色 模型 对 信息 系统 安全 风险 进行 分 析 与 评估 。 


8.6.3 综合 风险 评估 方法 


在 实际 的 系统 风险 评估 过 程 中 ,系统 风险 评估 是 一 个 复杂 的 过 程 ,需要 考虑 的 因素 很 
多 ,有 些 评估 要 素 可 以 用 量化 的 形式 来 表达 ,而 对 有 些 要 素 的 量化 又 是 很 困难 甚至 是 不 可 能 
的 。 因 此 不 能 将 定性 分 析 和 定量 分 析 两 种 方法 简单 地 分 开 来 ,而 要 将 这 两 种 方法 综合 起 来 。 
在 不 容易 获得 准确 数据 的 情况 下 采用 定性 分 析 方 法 分 析 , 在 定性 分 析 的 基础 上 使 用 定量 方 
法 进行 计算 以 减少 其 主观 性 。 定 量 分 析 是 定性 分 析 的 基础 和 前 提 , 定 性 分 析 建 立 在 定量 分 
析 的 基础 上 才能 揭示 客观 事物 的 内 在 规律 。 

1. 层次 分 析 法 

层次 分 析 法 (Analytic Hierarchy Process,AHP) 是 由 美国 运筹 学 专家 萨 蒂 教授 于 20 世 
纪 70 年 代 提 出 的 ,首先 在 美国 国防 部 的 科研 项 目 中 取得 应 用 , 它 是 在 网 络 系统 理论 和 多 目 
标 综合 评价 方法 基础 上 提出 的 一 种 层次 权重 决策 分 析 方 法 。 层 次 分 析 法 在 对 复杂 决策 问题 
本 质 、 影 响 因 素 及 其 内 在 关系 等 进行 深入 分 析 的 基础 上 ,利用 较 少 的 定量 信息 使 决策 思维 过 
程 数学 化 ,从 而 为 多 目标 、 多 准则 、 无 结构 特性 、 变 量 不 易 定量 化 的 复杂 决策 问题 提供 了 一 种 
简便 的 决策 方法 ,尤其 是 为 决策 结果 难以 直接 准确 度量 的 场合 提供 了 一 种 可 有 效 将 问题 条 
理化 .层次 化 的 思维 模式 。 

层次 分 析 法 的 整个 过 程 体现 了 人 的 决策 思维 的 基本 特征 , 即 分 解 . 判 断 与 综合 , 且 定 性 
与 定量 相 结合 ,便于 决策 者 之 间 彼 此 沟通 ,是 一 种 比较 有 效 的 系统 分 析 方 法 ,在 信息 系统 安 
全 风险 分 析 与 评估 等 众多 领域 得 到 了 广泛 应 用 。 

2. 风险 矩阵 

风险 矩阵 由 美国 空军 电子 系统 中 心 于 20 世纪 90 年 代 中 期 提出 ,并 在 美军 武器 装备 系 
统 研制 项 目的 风险 管理 和 控制 中 得 到 广泛 应 用 。 风 险 矩 阵 是 用 于 识别 风险 影响 程度 的 一 种 
结构 性 方法 ,能 够 对 潜在 的 风险 进行 评估 ,优点 是 操作 简便 ,并 结合 了 定性 分 析 和 定量 分 析 。 
风险 矩阵 可 以 有 多 个 栏目 ,如 风险 栏 .威胁 栏 . 影 响 栏 .风险 等 级 栏 和 风险 管理 栏 等 。 每 一 栏 
目 描述 其 要 素 对 应 的 具体 内 容 。 

原始 风险 矩阵 的 各 项 组 成 确定 后 ,就 将 相应 的 数据 输入 风险 矩阵 各 项 中 。 经 过 风险 识 
别 , 识 别 出 的 潜在 风险 数量 可 能 会 很 多 ,对 系统 的 影响 程度 也 不 相同 。 经 过 风险 分 析 , 确 定 
各 风险 的 重要 性 ,对 风险 进行 排序 并 评估 其 可 能 产生 的 后 果 , 有 效 控制 风险 。 

风险 识别 和 分 析 后 ,进行 风险 的 定量 分 析 。 定 量 分 析 可 以 从 风险 影响 程度 和 风险 出 现 
概率 两 个 角度 进行 量化 和 分 析 。 风 险 定 量 分 析 的 目的 是 确定 每 个 风险 对 系统 的 影响 大 小 。 


8.6.4 其 他 风险 评估 方法 


风险 评估 方法 的 使 用 并 不 具有 局 限 性 ,在 不 同 领域 中 风险 评估 方法 可 以 相互 引用 和 借 
鉴 , 以 下 是 在 不 同 领域 中 其 他 几 种 常用 评估 方法 。 
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1. 基于 树 的 分 析 技 术 

1) 故障 树 分 析 法 

故障 树 分 析 (Fault Tree Analysis,FTA) 的 概念 最 初 于 1962 年 由 贝尔 实验 室 提出 ,最 
初 是 为 分 析 Minuteman 火箭 系统 而 提出 的 一 种 可 靠 性 的 风险 评估 方法 ,随后 广泛 应 用 于 航 
天 工业 .电子 设备 、 化 学 工业 、 机 械 制造 、 核 工业 及 一 般 电 站 。 目 前 主要 用 于 分 析 大 型 复杂 系 
统 的 可 靠 性 及 安全 性 。 

故障 树 分 析 (FTA) 是 一 种 自 顶 而 底 的 评估 方法 ,采用 树 形 图 的 形式 ,把 系统 的 安全 故 
障 与 组 成 系统 的 部 件 的 故障 有 机 地 联系 在 一 起 。 故 障 树 分 析 通 过 对 可 能 造成 系统 故障 的 硬 
件 、 软 件 、 环 境 、 人 为 因素 进行 分 析 , 画 出 故障 原因 的 各 种 可 能 组 合 方式 或 其 发 生 概 率 ,由 总 
体 至 部 分 , 按 树 状 结构 , 逐 层 细 化 。 故 障 树 分 析 以 系统 不 希望 发 生 的 事件 作为 目标 , 称 为 项 
事件 ,按照 演绎 分 析 的 原则 ,从 项 事件 开始 逐 级 向 下 分 析 各 自 的 直接 原因 事件 , 称 为 基本 事 
件 。 在 故障 树 分 析 方 法 中 ,关键 在 于 故障 树 建 模 。 故 障 树 建 模 就 是 寻找 系统 故障 与 导致 系 
统 故障 的 因素 之 间 的 逻辑 关系 ,并 用 故障 树 的 图 形 符号 抽象 表示 实际 系统 故障 组 合 与 传递 
的 逻辑 关系 。 图 形 符号 包括 事件 符号 与 逻辑 门 符号 。 故 障 树 建 模 完成 之 后 ,需要 简化 故障 
树 ,消除 多 余 事 件 ,以 准确 计算 项 事件 发 生 的 概率 。 

2) 事件 树 分 析 法 

由 于 环境 影响 以 及 采取 的 安全 措施 不 同 ,系统 对 初始 事件 有 不 同 的 响应 方式 ,导致 事件 
的 发 展 过 程 与 结果 也 不 相同 。 因 此 应 分 析 鉴 别 对 不 同 响应 导致 的 事件 序列 的 发 展 过 程 。 

事件 树 分 析 (Event Tree Analysis,ETA) 起 源 于 决策 树 分 析 (DTA) , 它 是 一 种 按 事故 
发 展 的 时 间 顺 序 由 初始 事件 开始 推论 可 能 的 后 果 , 从 而 进行 危险 源 辩 识 的 方法 。 事 件 树 分 
析 在 给 定 系统 事件 的 情况 下 ,分析 此 事件 可 能 导致 的 各 种 事件 的 一 系列 结果 ,定性 与 定量 地 
评价 系统 特性 ,帮助 人 们 做 出 处 理 决策 。 

事件 树 分 析 是 从 一 个 初始 事件 开始 ,并 描述 了 初始 事件 一 切 可 能 的 发 展 方式 与 途径 。 
它 是 一 种 时 序 逻 辑 的 事故 分 析 方法 , 它 以 一 初始 事件 为 起 点 ,按照 事故 的 发 展 顺序 ,分 阶段 ， 
一 步 一 步 地 进行 分 析 ,每 一 事件 可 能 的 后 续 事 件 只 能 取 完 全 对 立 的 两 种 状态 之 一 的 原则 (如 
成 功 或 失败 \ 正 常 或 故障 ,安全 或 危险 等 ) ,逐步 向 结果 方面 发 展 , 直 到 达到 系统 故障 或 事故 
点 为 止 。 所 分 析 的 情况 用 树枝 状 图 表示 , 故 叫 事件 树 。 事 件 树 虽然 列举 了 导致 事件 发 生 的 
各 种 事故 序列 组 ,但 这 只 是 中 间 步 又 ,不 是 最 后 结果 。 有 了 中 间 步 又 才 可 以 进一步 整理 初始 
事件 与 减少 系统 风险 概率 措施 之 间 的 复杂 关系 ,并 识别 事故 序列 组 所 对 应 的 事故 场景 。 

3) 因果 分 析 法 

因果 分 析 (Cause Consequence Analysis,CCA) 技 术 由 丹麦 RISO 实验 室 开 发 ,最 初 用 
于 核电 站 的 风险 分 析 , 后 来 它 被 推广 应 用 于 信息 系统 安全 风险 评估 等 众多 领域 ,用 于 评估 和 
保护 系统 的 安全 性 。CCA 实际 是 一 种 故障 树 分 析 和 事件 树 分 析 结 合 的 方法 ,结合 了 原因 分 
析 ( 由 故障 树 描述 ) 和 结果 分 析 ( 由 事件 树 分 析 ) 的 特点 。 

CCA 的 目的 是 识别 出 导致 不 希望 发 生 结 果 的 事件 链 。 通 过 CCA 图 中 不 同事 件 的 发 生 
可 能 性 ,计算 出 各 种 后 果 的 概率 ,从 而 确定 系统 的 风险 等 级 ,并 根据 不 同 的 风险 等 级 采取 不 
同 的 安全 措施 ,保证 系统 的 安全 。 

4) 管理 漏洞 风险 树 

管理 漏洞 风险 树 (Management Oversight Risk Tree, MORT) 由 美国 能 源 研究 与 发 展 
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委员 会 于 20 世纪 70 年 代 提 出 , 它 能 够 与 复杂 的 ` 面 向 目标 的 管理 系统 相 协调 。 

管理 漏洞 风险 树 是 一 种 将 安全 要 素 以 有 序 的 .符合 逻辑 的 方式 进行 排列 的 图 表 。 它 利 
用 故障 树 的 方法 来 进行 分 析 , 最 上 层 的 事件 是 “破坏 ,损失 、 其 他 费用 企业 信誉 下 降 ” 等 。 管 
理 漏洞 风险 树 主要 从 管理 漏洞 角度 给 出 了 有 关 顶 层 事 件 发 生 原 因 的 总 体 看 法 ,从 上 层 管理 
角度 对 风险 进行 分 析 和 评估 ,并 对 风险 管理 与 控制 提出 决策 。 

5) 安全 管理 组 织 评审 技术 

安全 管理 组 织 评审 技术 (Safety Management Organization Review Technique ,SMORT) 是 
对 MORT 的 简单 修改 。MORT 是 基于 完全 的 树 结 构 ,而 安全 管理 组 织 评审 技术 通过 对 相 
关 清 单 的 分 析 来 构建 模型 。 从 安全 管理 组 织 评审 技术 的 结构 分 析 过 程 来 看 ,安全 管理 组 织 
评审 技术 也 是 一 种 基于 树 的 方法 。 

安全 管理 组 织 评审 技术 分 析 包括 基于 清单 和 相关 问题 的 数据 收集 与 结果 赋值 。 上 述 信 
息 可 以 通过 调研 、 对 文件 的 研究 等 来 收集 。 通 过 安全 管理 组 织 评审 技术 能 够 完成 对 意外 事 
件 的 详细 调查 ,并 可 用 于 制定 安全 审计 和 安全 度量 计划 。 

2. 基于 动态 系统 的 技术 

了 :GO 方法 

GO 方法 (GO Method) 由 Kaman 科学 公司 于 20 世纪 70 年 代 提 出 ,首先 在 美国 国防 部 
的 电力 系统 可 靠 性 和 安全 性 分 析 得 到 应 用 ,是 一 种 面向 成 功 逻 辑 的 系统 分 析 方 法 。 

GO 方法 通过 工程 图 来 构建 GO 模型 ,在 模型 构建 中 它 使 用 了 17 个 算 子 ,使 用 一 个 或 
多 个 GO 算 子 代替 系统 中 的 元 素 。 

GO 算 子 有 3 种 基本 类 型 : 独立 算 子 .依靠 算 子 和 逻辑 算 子 。 

独立 算 子 用 于 无 输入 部 门 的 建 模 ; 依靠 算 子 至 少 需要 一 个 输入 ,才能 有 一 个 输出 ; 逻 
辑 算 子 将 算 子 结合 在 一 起 ,形成 目标 系统 的 成 功 逻辑 。 

基于 独立 算 子 和 依靠 算 子 的 概率 数据 ,可 以 计算 出 成 功 操作 的 概率 。 在 实际 应 用 中 , 通 
过 适当 的 方法 定义 目标 系统 的 边界 条 件 时 ,可 使 用 GO 方法 对 系统 的 风险 和 安全 性 进行 分 
析 和 评估 。 

2) 有 向 图 /故障 图 

有 向 图 /故障 图 (Digraph/Fault Graph) 方 法 使 用 图 论 中 有 关 的 数学 方法 和 语言 对 系统 
的 风险 和 安全 性 进行 分 析 , 如 路 径 集 和 可 达 性 。 

此 方法 使 用 "与 门 和 或 门 "(AND/VOR )。 来 自 系统 邻接 矩阵 的 连通 矩阵 显示 一 个 故障 
节点 是 否 会 导致 顶 事件 的 发 生 , 对 这 些 和 矩阵 进行 分 析 , 得 出 系统 的 单 态 或 双 态 。 单 态 指 造成 
系统 故障 的 单个 因素 , 双 态 指 造成 系统 故障 的 两 个 因素 。 

此 方法 允许 形成 循环 .反馈 ,这 样 在 对 动态 系统 进行 风险 分 析 与 评估 时 具有 和 较 大 的 吸 
强 为 。 

3) 马尔 可 夫 分 析 法 

马尔 可 夫 (Markov) 分 析 法 提供 了 事件 驱动 型 系统 可 靠 性 、 可 用 性 和 安全 性 的 分 析 方 
法 ,适合 于 需要 考虑 系统 状态 的 情形 。 其 他 一 些 系统 分 析 方 法 通常 假定 系统 的 组 件 是 相互 
独立 的 ,此 方法 假设 系统 的 各 个 组 件 之 间 可 以 有 较 强 的 相互 依赖 关系 。 

马尔 可 夫 分 析 方 法 包括 马尔 可 夫 链 和 马尔 可 夫 过 程 两 种 基本 方法 。 马 尔 可 夫 链 是 一 个 
随机 变量 序列 ,将 来 的 随机 变量 只 取决 于 当前 的 随机 变量 ,与 当前 随机 变量 之 前 的 其 他 随机 
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变量 无 关 。 这 与 其 他 随机 事件 是 不 同 的 ,因为 在 很 多 随机 事件 中 ,将 来 的 事件 发 生 是 受到 以 
前 发 生 事件 的 影响 的 ,它们 前 后 存在 着 较 大 的 相关 性 ,不 是 相互 独立 的 。 马 尔 可 夫 链 分 为 齐 
次 马尔 可 夫 链 和 非 齐 次 马尔 可 夫 链 。 齐 次 马尔 可 夫 链 的 状态 间 转 移 率 是 常量 ,与 事件 无 关 ， 
而 非 齐 次 马尔 可 夫 链 的 状态 间 转 移 率 是 变量 ,是 时 间 的 函数 。 马 尔 可 夫 过 程 的 基本 假设 是 
每 个 状态 系统 的 行为 都 不 会 被 记忆 。 马 尔 可 夫 过 程 完全 由 其 转移 概率 矩阵 所 确定 。 一 个 无 
记忆 系统 的 将 来 状态 只 取决 于 其 当前 状态 ,与 过 去 无 关 。 一 个 稳定 系统 的 状态 转移 概率 不 
随时 间 变 化 。 

马尔 可 夫 模 型 根据 系统 的 初始 配置 状态 。 估 计 从 一 个 已 知 状 态 转移 到 下 一 逻辑 状态 的 
概率 ,直到 系统 达到 一 个 最 终 或 完全 失效 的 状态 。 在 马尔 可 夫 分 析 方 法 中 ,利用 状态 转移 图 
这 种 形象 直观 的 方式 描述 系统 所 有 离散 状态 和 状态 间 可 能 的 转移 途径 ,状态 间 的 转移 频率 
仅仅 取决 于 当前 状态 的 概率 和 状态 间 的 固定 转移 率 。 马 尔 可 夫 状 态 转 移 过 程 可 使 用 差分 方 
程 来 表示 ,差分 方程 阶 数 等 于 状态 的 数目 。 

马尔 可 夫 方 法 适宜 分 析 比 较 小 的 系统 , 当 分 析 大 型 系统 时 ,马尔 可 夫 状 态 转移 图 很 大 且 
复杂 ,比较 难 构 造 , 但 可 以 与 FTA 和 FMECA 综合 使 用 分 析 复 杂 系 统 。 

4) 动态 事件 逻辑 分 析 方 法 

动态 事件 逻辑 分 析 方 法 (Dynamic Event Logic Analytical Methodology,DELAM) 提 供 
了 一 个 用 于 对 时 间 、 过 程 变量 和 系统 的 精确 处 理 的 完整 框架 。 

动态 事件 逻辑 分 析 方 法 通常 包括 4 个 步骤 : 系统 组 成 部 分 建 模 ; 系统 方程 求解 算法 ; 
设置 最 高 条 件 ; 时 间 序 列 产生 和 分 析 。 

动态 事件 迎 辑 分 析 方 法 对 系统 的 可 靠 性 、 安 全 性 进行 评估 ,并 对 系统 的 行为 、 活 动 进 
行 识别 ,在 描述 动态 事件 方面 非常 有 用 。 在 对 某 个 特定 问题 进行 分 析 时 ,需要 建立 系统 
的 DELAM 模拟 器 ,然后 提供 各 种 输入 数据 。 输 入 数据 可 以 是 在 特定 条 件 下 系统 组 成 部 
门 的 发 生 概 率 、 概 率 的 独立 性 ,不同 状态 间 的 转换 率 . 状 态 与 过 程 变 量 的 条 件 概率 矩 
阵 等 。 

5) 动态 事件 树 分 析 方法 

动态 事件 树 分 析 方 法 (Dynamic Event Tree Analysis Method,DETAM) 是 基于 时 间 变 
化 要 素 的 方法 ,时 间 变 化 要 素 包 括 设备 硬件 状态 .过 程 变量 值 和 事件 发 生 过程 中 的 操作 状态 
等 。 一 个 动态 事件 树 也 是 事件 树 , 只 是 分 支 于 不 同 的 时 间 点 上 。 

动态 事件 树 分 析 方 法 通过 5 个 特征 集 来 定义 ,分 别 是 分 支 集 ,变量 集 、 分 支 规则 .序列 扩 
张 规 则 和 量化 工具 。 

分 支 集 用 于 确定 事件 树 节 点 可 能 的 分 支 空间 ; 变量 集 定 义 系统 状态 ; 分 支 规则 用 于 确 
定 什么 时 候 发 生 分 支 ; 序列 扩张 规则 用 于 限制 序列 的 数量 。 

动态 事件 树 分 析 方 法 可 用 于 表示 操作 行为 的 多 样 化 、 建 立 操 作 行 为 的 结果 模型 .分析 使 
用 因果 模型 的 框架 以 及 分 析 与 评估 紧急 的 安全 事件 及 其 过 程 变 化 ,以 判断 在 哪里 进行 改变 、 
怎样 进行 改变 能 达到 比较 好 的 控制 效果 。 

上 面 对 几 种 常见 的 风险 评估 方法 进行 了 介绍 。 它 们 各 有 优 缺 点 ,适用 于 不 同 的 条 件 和 
场合 。 在 实际 的 信息 系统 安全 风险 评估 工作 中 ,根据 需要 ,灵活 、 综 合 运 用 这 些 技术 和 方法 ， 
以 取得 最 佳 的 评估 结果 。 
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8.7 典型 的 信息 系统 安全 风险 评估 方法 


上 节 介 绍 了 风险 评估 的 方法 ,本 节 继 续 介绍 几 种 典型 的 信息 系统 安全 风险 评估 方法 。 
8.7.1 OCTAVE 方法 


可 操作 的 关键 威胁 、 资 产 和 脆弱 性 评估 (Operationally Critical Threat、 Asset and 
Vulnerabilityn Evaluation,OCTAVE) 是 由 美国 卡耐基 ， 梅 隆 大 学 软件 工程 研究 所 开发 的 
基于 风险 策略 和 计划 的 信息 系统 安全 风险 评估 方法 ,其 包括 OCTAVE 框架 .OCTAVE 方 
法 .OCTAVE 标准 ,这 些 文件 不 仅 是 信息 系统 安全 风险 评估 的 基本 框架 规范 ,也 说 明了 如 
何 具体 实施 OCTAVE 方法 的 样本 、 工 作 表 和 使 用 说 明 。 基 本 框架 规范 定义 了 一 系列 原则 、 
属性 和 输出 、 样 本 ,工作 表 和 使 用 说 明 指 导 实 施 风险 评估 。 

OCTAVE 方法 适合 正在 寻求 和 理解 自身 安全 需要 的 组 织 。OCTAVE 方法 是 自 引 导 
式 的 ,要 求 组织 内 部 的 人 员 负 责 制定 组 织 的 安全 策略 。 此 技术 要 求 组 织 内 部 人 员 对 信息 系 
统 安全 的 实践 和 过 程 进一步 了 解 ,获得 组 织 当 前 的 安全 状况 。 对 关键 资产 的 评估 结果 可 用 
来 确定 修改 的 先后 顺序 和 调整 组 织 的 安全 策略 。 

OCTAVE 方法 关注 的 是 组 织 的 风险 、 策 略 和 与 实践 相关 的 问题 。 它 是 一 种 很 灵活 的 
评估 方式 ,可 以 适合 大 多 数组 织 。 使 用 OCTAVE 方法 时 ,来 自 业 务 部 门 和 IT 部 门 的 评估 
人 员 组 成 评估 小 组 ,陈述 组 织 的 安全 需求 ,在 操作 风险 .安全 实践 和 技术 3 个 方面 进行 权衡 。 

OCTAVE 方法 由 操作 风险 和 安全 实践 驱动 。 通 过 OCTAVE 方法 评估 ,组 织 要 基于 信 
息 资 产 的 机 密 性 、 完 整 性 和 可 用 性 的 风险 做 出 信息 保护 方案 。 

1. OCTAVE 方法 的 主要 特点 

1) OCTAVE 方法 是 自 引导 的 

要 求 组 织 管理 评估 过 程 并 做 出 相应 的 信息 保护 决定 。 评 估 小 组 领导 评估 的 整个 过 程 。 

2) OCTAVE 方法 是 由 资产 驱动 的 评估 方式 

OCTAVE 方法 提出 的 风险 评估 是 以 资产 驱动 ,并 结合 威胁 和 脆弱 性 评估 的 。 评 估 小 
组 识别 组 织 的 关键 信息 资产 ,并 对 其 进行 风险 分 析 。 

OCTAVE 的 核心 是 自主 原则 , 即 由 组 织 内 部 的 人 员 管 理 和 指导 该 组 织 的 信息 系统 安 
全 风险 评估 。 信 息 系统 安全 是 组 织 内 每 个 人 的 职责 ,而 不 只 是 信息 部 门 的 职责 。OCTAVE 
首先 强调 的 是 O( 可 操作 性 ) ,其 次 是 C( 关 键 性 ) 。 

OCTAVE 的 关键 结果 包括 组 织 改 进 其 安全 状态 的 保护 策略 和 减少 组 织 的 关键 资产 的 
风险 的 缓和 计划 。 评 估 结 果 仅 为 组 织 改 进 安全 状态 指明 了 方向 ,但 不 一 定 有 重大 改进 。 为 
了 有 效 地 管理 信息 系统 安全 风险 ,必须 根据 风险 评估 的 结果 开发 详细 的 行动 计划 ,并 对 这 些 
计划 的 实施 进行 管理 。OCTAVE 方法 的 评估 结果 包括 3 种 类 型 的 输出 数据 : 组 织 数 据 、 技 
术 数 据 和 风险 分 析 与 缓解 数据 。 

OCTAVE 方法 为 大 型 组 织 而 设计 ,对 于 规模 较 小 的 组 织 可 以 使 用 OCTAVE-S 方法 。 
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2. OCTAVE 方法 的 主要 过 程 

OCTAVE 方法 包括 3 个 阶段 共 8 个 过 程 ,每 个 阶段 包含 的 过 程 描述 如 下 。 

1) 阶段 一 : 建立 基于 资产 的 威胁 描述 

此 阶段 从 组 织 角度 进行 评估 。 评 估 小 组 决定 哪些 组 织 的 资产 重要 和 已 实施 安全 措施 的 
信息 资产 。 负 责 分 析 的 团队 对 这 些 信 息 进 行 整理 ,以 确定 对 组 织 的 关键 资产 ,并 标识 对 关键 
资产 的 威胁 ,建立 威胁 描述 文件 。 该 阶段 包括 4 个 过 程 。 

(1) 过 程 1: 标识 高 层 管理 部 门 的 信息 。 

评估 小 组 从 有 代表 性 的 高 级 管理 部 门 处 收集 有 关 重 要 资产 ,安全 要 求 . 威 胁 、 目 前 组 织 
的 安全 实践 和 组 织 脆弱 性 的 信息 。 

(2) 过 程 2: 标识 业务 领域 管理 部 门 的 信息 。 

评估 小 组 从 主管 选 定 的 业务 领域 管理 部 门 处 收集 有 关 重 要 资产 .安全 要 求 、 威 胁 、 目 前 
组 织 的 安全 实践 和 组 织 脆弱 性 的 信息 。 

(3) 过 程 3: 标识 员工 的 信息 。 

评估 小 组 从 业务 领域 管理 部 门 的 普通 员工 处 收集 有 关 重 要 资产 .安全 要 求 、 威 胁 、 目 前 
组 织 的 安全 实践 和 组 织 脆弱 性 的 信息 。 

(4) 过 程 4: 建立 威胁 描述 。 

评估 小 组 选择 几 个 关键 资产 ,提炼 关键 资产 的 安全 需求 ,为 它们 建立 威胁 描述 文件 。 

2) 阶段 二 : 确定 基础 设施 的 脆弱 性 

该 阶段 对 基层 设施 进行 评估 ,分 析 用 于 支持 每 种 关键 资产 的 系统 组 件 , 找 出 导致 影响 关 
键 资产 执行 的 脆弱 性 。 该 阶段 包括 两 个 过 程 。 

(1) 过 程 5: 确定 关键 组 件 。 

识别 出 用 来 支持 和 处 理 关 键 信息 相关 的 资产 系统 中 关键 组 件 的 类 型 ,确定 它们 的 评估 
pe 

(2) 过 程 6: 评估 选 定 的 组 件 。 

运行 脆弱 性 评估 工具 ,评估 选 定 的 基础 设施 组 件 , 并 分 析 评 估 结 果 , 精 练 关 键 资产 的 威 
胁 描述 。 

3) 阶段 三 : 制定 安全 策略 和 计划 

分 析 团 队 评 估 组 织 中 关键 资产 的 风险 ,并 确定 需 采 取 的 措施 。 依 据 对 收集 信息 的 分 析 
结果 ,为 组 织 制 定 保护 策略 和 风险 削减 计划 。 该 阶段 包括 2 个 过 程 : 

(1) 过 程 7: 实施 风险 评估 。 

标识 关键 资产 的 威胁 影响 ,制定 风险 评估 标准 ,决定 威胁 对 组 织 的 影响 值 。 所 有 存在 的 
风险 都 应 进行 评估 。 

(2) 过 程 8: 制定 保护 策略 。 

评估 小 组 制定 整个 组 织 的 保护 策略 ,该 策略 注重 于 提高 组 织 的 安全 实践 ,以 及 关键 资产 
的 风险 削减 计划 。 

OCTAVE 方法 的 主要 过 程 如 图 8. 6 所 示 。 
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8.6 ” OCTAVE 方法 的 主要 过 程 


8.7.2 层次 分 析 法 


1. 层次 分 析 法 的 基本 原理 与 主要 步骤 

层次 分 析 法 的 基本 思想 是 在 决策 目标 的 要 求 下 ,根据 所 要 分 析 的 问题 的 性 质 和 达到 的 
总 体 目 标 ,将 问题 分 解 为 不 同 的 组 成 因素 ,并 按照 因素 间 的 相互 关联 、 影 响 以 及 隶属 关系 将 
因素 按 不 同 的 层次 聚集 组 合 , 形 成 一 个 层次 的 分 析 结 构 模 型 ,并 最 终 把 系统 分 析 归 结 为 最 底 
层 相对 于 最 高 层 的 相对 重要 性 权 值 的 确定 或 相对 优 劣 次 序 的 排序 问题 。 

层次 分 析 法 是 一 种 定性 分 析 与 定量 分 析 相 结合 的 多 目标 决策 分 析 法 ,这 一 方法 的 核心 
是 将 决策 者 的 经 验 判 断 进 行 量化 ,为 决策 者 提供 定量 形式 的 决策 依据 。 由 于 层次 分 析 法 在 
许多 目标 决策 问题 方面 具有 优势 ,目前 已 在 许多 领域 得 到 广泛 应 用 。 

层次 分 析 法 的 分 析 流 程 如 图 8. 7 所 示 。 


(实际 困 古 ) 分 月 (多 个 因素 ) 建立 (层次 模型 ) 
/构造 


A 天 断 短 阵 
图 8.7 层次 分 析 法 的 分 析 流 程 


层次 分 析 法 的 基本 步骤 是 : 

1) 系统 分 解 ,建立 层次 结构 模型 

层次 模型 的 构建 基于 分 解法 的 思想 ,进行 对 象 的 系统 分 解 。 建 立 层次 结构 模型 的 目的 
是 在 深入 分 析 实 际 问题 的 基础 上 ,建立 基于 系统 基本 特征 的 评估 指标 体系 。 具 体 地 说 ,首先 
需要 对 系统 进行 分 析 , 将 复杂 问题 分 解 为 由 多 个 元 素 组 成 的 子 部 分 ,再 将 这 些 元 素 按 属性 分 
成 若干 组 ,形成 不 同 层次 ,同一 层次 的 元 素 作为 准则 对 下 一 层 的 某 些 元 素 起 支配 作用 ,同时 
又 受 上 一 层 元 素 的 支配 。 层 次 结构 模型 的 基本 层次 有 目标 层 、 准 则 层 和 方案 层 , 如 图 8. 8 所 
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示 。 目 标 层 是 指 评估 的 最 终 目标 。 准 则 层 是 指 影响 目标 实现 的 准则 , 它 是 联系 上 下 层 的 中 
间 环 节 , 既 要 保证 目标 层 的 实现 ,又 要 保证 方案 层 的 优 劣 能 得 到 正确 合理 的 评判 。 方 案 层 是 
指 促使 目标 实现 的 方案 ,其 中 的 每 一 个 要 素 代表 着 一 个 参评 方案 。 其 中 ,准则 层 可 以 由 若干 
个 层次 组 成 ,包括 所 需 考 虑 的 准则 、 子 准则 。 


目标 层 M 


准则 层 P 


( 方案 ) 方案 2 Ee 方案 方案 层 F 


8.8 层次 结构 模型 


2) 构造 各 层次 的 判断 矩阵 

在 建立 层次 结构 模型 之 后 ,上 下 层 之 间 的 元 素 的 隶属 度 就 确定 了 ,可 以 构造 一 系列 判断 
和 矩阵。 判断 矩阵 是 将 层次 结构 模型 中 同一 层次 的 要 素 相 对 于 上 层 的 某 个 因素 ,根据 重要 程 
度 相互 间 进行 成 对 比较 而 形成 的 矩阵 。 判 断 矩 阵 的 作用 是 在 上 一 层 某 一 元 素 的 约束 条 件 
下 ,对 同 层 次 的 元 素 之 间 的 相对 重要 性 进行 比较 。 在 对 评估 指标 的 相对 重要 程度 进行 测量 
时 ,引入 9 分 位 的 相对 重要 的 比例 标 度 ,构成 一 个 判断 矩阵 ,重要 性 标 度 值 如 表 8. 12 所 示 。 


表 8.12 1 一 9 标 度 
重要 性 标 度 含义 
1 表示 元 素 i 与 元 素 j 相 比 ,两 者 同样 重要 
3 表示 元 素 i 与 元 素 j 相 比 ,前 者 比 后 者 稍 重要 
5 表示 元 素 i 与 元 素 j 相 比 , 前 者 比 后 者 明显 重要 
7 表示 元 素 i 与 元 素 j 相 比 ,前 者 比 后 者 强烈 重要 
9 表示 元 素 i 与 元 素 j 相 比 ,前 者 比 后 者 极端 重要 
2.4.6.8 表示 上 述 相 邻 判断 的 中 间 值 
1/a 表示 若 元 素 i 与 元 素 j 的 重要 性 之 比 为 a, 则 j 与 i 的 重要 性 之 比 为 1/a 


设 某 层 有 ?个 元 素 ,要 比较 它们 对 上 一 层 某 一 准则 (或 目标 ?的 影响 程度 ,确定 在 该 层 中 
相对 于 某 一 准则 所 占 的 比重 , 即 把 个 元 素 对 上 层 某 一 目标 的 影响 程度 排序 。 上 述 比较 是 
同一 层 中 两 两 元 素 之 间 进 行 的 比较 ,比较 时 取 1 一 9 尺度 。 例 如 ,方案 1 ,方案 2，…… ,方案 
nn 与 上 一 层 准 则 P 了 有 关联 。 建 立 这 几 个 方案 关于 准则 C 的 判断 矩阵 如 下 : 


ma Ms Mn 

Mo Msg Won 
M = (ms ) wen 一 

ma ma “im 


其 中 ,msj 记 0,ms 二 1 ,ms 一 全 ,用 ms 表示 第 i 个 元 素 相对 于 第 j 个 元 素 的 比较 结果 , 则 


ms = 1/msj 
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mi 表示 对 于 准则 P 而 言 ,方案 i 与 j 比较 而 得 到 的 相对 重要 程度 或 优越 性 。m 的 取 值 
是 根据 资料 、 统 计数 据 、 征 求 专家 意见 以 及 系统 分 析 员 的 经 验 而 确定 的 。 

3) 判断 矩阵 计算 及 一 致 性 检验 

这 一 过 程 称 为 层次 单 排序 ,判断 矩阵 M 对 应 与 最 大 特征 值 lex 的 特征 向 量 ww, 经 归 一 
化 后 ,为 同一 层次 相应 因素 对 应 于 上 一 层次 某 因 素 相 对 重要 性 的 排序 权 值 进行 排序 。 对 判 
断 矩 阵 进 行 数学 计算 , 求 其 主 特征 值 及 其 相应 的 主 特征 向 量 , 该 向 量 即 为 层次 单 排序 结果 。 
构造 判断 矩阵 的 办 法 虽然 较 客 观 地 反映 出 一 对 因子 影响 力 的 差别 ,但 综合 全 部 比较 结果 时 ， 
难免 包含 一 定 程度 的 非 一 致 性 ,为 了 检验 构造 出 来 的 判断 矩阵 是 否 具有 严重 的 非 一 致 性 ,以 
便 确 定 是 否 接受 该 判断 矩阵 ,还 要 对 判断 矩阵 进行 一 致 性 检验 。 

判断 矩阵 的 运算 和 一 致 性 的 检验 具体 过 程 如 下 : 

(1) 最 大 特征 值 具体 计算 方法 。 

@ 将 判断 矩阵 的 每 一 列 元 素 作 归 一 化 处 理 ,其 元 素 的 一 般 项 为 


ms = (i,j = 1,2,°,n) (8-1) 
Dmy 
© 对 各 列 归 一 化 后 判断 短 阵 按 行 相 加 
zo; 一 yn (i,j = 1,2,°" sn) (8-2) 
@ 相 加 后 的 向 量 再 归 一 化 处 理 ,所 得 的 结果 妈 为 所 求 特征 向 量 
wi = (ii = 1,2,.° 7) (8-3) 
Dw 
中 通过 判断 矩阵 M 和 和 特征 向 性 计算 判断 矩阵 的 最 大 特征 值 Xx。 
hasx 一 Co Gi,j = 12 (8-4) 


其 中 CMw); 代表 向 量 Mw 的 第 i 个 元 素 。 
(2) 进行 一 致 性 检验 。 
J@ 一 致 性 指标 
CI= (Amex — 1)/ (nO—1) (8-5) 
其 中 ,nn 为 判断 和 矩阵 的 阶 数 。 
@ 选择 随机 一 致 性 指标 RI。 
对 于 1 一 9 阶 和 矩阵 ,RI 见 表 8. 13。 


表 8.13 随机 一 致 性 指标 


阶 数 1 2 3 4 5 6 7 

RI 0 0 0.58 0. 90 本 1. 24 1.32 
阶 数 8 9 10 11 12 13 14 
RI 1.41 1.45 1.49 1.52 1.54 1.56 1.58 
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@ 计算 一 致 性 指标 
CR = CL/RI (8-6) 

若 CR 二 0. 1, 认 为 判断 矩阵 具有 满意 一 致 性 ,否则 对 判断 矩阵 进行 调整 。 

4) 层次 总 排序 及 一 致 性 检验 

层次 总 排序 是 指 每 一 个 判断 矩阵 各 因素 针对 目标 层 的 相对 权重 ,即将 上 一 步 计算 得 到 
的 单 排序 结果 进行 适当 组 合 , 计 算 最 下 层 对 目标 层 的 组 合 权 向 量 。 

最 后 做 组 合 一 致 性 检验 ,车 检验 通过 , 则 可 按照 组 合 权重 向 量 表示 的 结果 进行 决策 , 否 
则 需要 重新 考虑 模型 或 重新 构造 那些 一 致 性 比率 大 于 0. 1 的 成 对 比较 阵 。 


8.7.3 FTA 


故障 树 分 析 法 可 分 为 定性 和 定量 两 种 方式 。 故 障 树 的 定性 分 析 是 通过 求 故障 树 的 最 小 
割 集 , 得 到 项 事 件 的 全 部 故障 模式 ,发 现 系统 结构 中 的 最 薄弱 环节 和 关键 点 ,集中 对 最 小 制 
集 所 发 现 的 关键 点 进行 强化 。 定 性 分 析 和 定量 分 析 都 需要 有 以 下 两 个 基本 步 又。 

1. 建立 故障 树 

顶 事件 是 重大 风险 事件 , 顶 事 件 是 由 于 若干 中 
间 事 件 的 逻辑 组 合 导致 的 ,中 间 事 件 是 由 于 各 个 底 
事件 逻辑 组 合 导致 的 。 表 示 结 果 的 项 事件 在 上 , 表 
示 原 因 的 底 事件 在 下 ,中 间 层 是 下 层 事件 的 结果 和 
上 层 事件 的 原因 ,这 样 构成 了 一 个 倒立 的 树 状 逻辑 
因果 关系 图 。 

图 8.9 给 出 了 一 种 故障 树 。 事 件 1 是 项 事件 ， 
造成 事件 1 发 生 的 原因 是 事件 2 或 者 是 事件 3。 事 
件 2 是 一 个 中 间 事 件 , 它 既是 事件 1 的 原因 ,也 是 事 | 事件 4 事件 5 
件 4 和 事件 5 的 结果 。 事 件 2 是 事件 4 和 事件 5 共 
同 作用 的 结果 。 

2. 简化 故障 树 , 求 出 故障 树 的 全 部 最 小 割 集 


割 集 是 指 故障 树 中 导致 项 事件 必然 发 生 的 一 些 底 事件 的 集合 。 若 在 某 个 割 集中 将 任意 
一 个 底 事件 去 掉 , 余 下 的 底 事件 不 能 构成 割 集 , 即 不 能 使 项 事件 必然 发 生 , 则 这 样 的 割 集 就 
是 最 小 割 集 。 


8.7.4 威胁 分 级 法 


此 方法 通过 分 析 威 胁 、 威 胁 对 资产 的 影响 以 及 威胁 发 生 的 可 能 性 来 确定 风险 。 威 胁 分 
级 法 首先 要 确定 威胁 对 资产 的 影响 ,用 等 级 进行 表示 。 识 别 威胁 的 过 程 可 以 通过 准备 威胁 
列表 ,让 用 户 去 选择 确定 相应 的 资产 威胁 ,也 可 以 由 分 析 团 队 人 员 来 确定 相关 的 资产 威胁 ， 
而 后 进行 分 析 与 归 类 。 然 后 评价 威胁 发 生 的 可 能 性 。 在 确定 威胁 的 影响 值 和 威胁 发 生 的 可 
能 性 后 ,计算 风险 值 。 

风险 值 的 计算 方法 可 以 是 影响 值 与 可 能 性 之 和 ,也 可 以 是 之 积 , 具 体 算法 由 用 户 确 定 ， 
只 要 满足 是 增 函 数 即 可 。 


图 8.9 故障 树 示例 
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本 例 可 以 将 威胁 的 影响 值 和 威胁 发 生 的 可 能 性 均 分 为 5 个 等 级 ,风险 值 的 计算 采用 两 
值 的 积 ,具体 计算 如 表 8. 14 所 示 。 在 具体 评估 中 ,可 以 根据 该 方法 来 明确 表示 “资产 一 威 
胁 一 风险 ”之 间 的 对 应 关系 。 
表 8.14 威胁 分 级 法 


资产 威胁 描述 影响 值 威胁 发 生 可 能 性 风险 值 风险 等 级 
威胁 1 4 4 16 2 
威胁 2 3 4 12 3 

某 个 威胁 3 5 5 25 1 

资产 威胁 4 1 2 2 5 
威胁 5 & 4 8 4 
威胁 6 3 3 9 4 


8.7.5 风险 矩阵 测量 


此 方法 的 特点 是 事先 建立 资产 值 .威胁 等 级 和 脆弱 性 等 级 的 对 应 表 。 对 每 个 资产 面临 
的 风险 都 考虑 其 资产 值 、 威 胁 等 级 和 脆弱 性 等 级 , 即 预先 定义 好 其 风险 等 级 。 对 应 表 如 
表 8.15 所 示 。 


表 8.15 资产 值 .威胁 等 级 .脆弱 性 等 级 对 应 表 


资 产 值 1 2 3 4 5 
低 1 2 3 4 5 
低 脆弱 性 等 级 中 学 4 5 6 
高 3 4 5 6 7 
威 低 2 3 4 5 6 
怒 中 脆弱 性 等 级 中 3 4 6 7 
高 4 La 6 7 8 
低 3 4 5 6 ' 
高 脆弱 性 等 级 中 4 5 6 7 8 
高 5 6 8 9 
如 果 资 产值 为 2, 威 胁 等 级 为 中 ,脆弱 性 等 级 为 中 , 查 表 可 知 风 险 值 为 4。 由 表 8. 15 可 
以 推出 ,风险 矩阵 会 随 着 资产 值 的 增加 ` 威 胁 等 级 的 增加 和 脆弱 性 等 级 的 增加 而 增加 。 


若 某 一 资产 由 若干 子 资产 组 成 ,可 以 分 别 计算 子 资产 所 面临 的 风险 值 ,接着 计算 总 值 。 
假设 某 系 统 有 3 种 资产 A1,A2,A3, 系 统 存在 威胁 B。 设 资产 A1、A2、A3 的 值 分 别 为 2、3、 
4, 对 于 Al 和 B, 威 胁 等 级 为 中 ,脆弱 性 等 级 为 低 , 则 Al 的 风险 值 为 3, 同 样 对 于 A2 和 B， 
威胁 等 级 为 高 ,脆弱 性 等 级 为 中 , 则 A2 的 风险 值 为 6。 对 于 A3 同样 计算 。 那 么 此 系统 的 
总 的 风险 值 可 以 用 下 面 的 式 子 表 示 

系统 的 总 风险 值 =Al1XB+A2XB+A3XB 
这 样 可 以 实现 对 不 同系 统 的 比较 ,以 便 确定 优先 级 ,并 在 同一 系统 内 做 好 资产 的 划分 。 


8.7.6 风险 综合 评价 
风险 的 大 小 由 威胁 产生 可 能 性 ,威胁 对 资产 的 影响 程度 以 及 已 采用 的 控制 措施 3 个 方 
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面 来 确定 。 

风险 综合 评估 方法 中 重要 的 是 威胁 类 型 的 识别 。 通 常 首先 需要 建立 一 个 威胁 列表 , 然 
后 进行 资产 识别 ,接着 识别 威胁 以 及 威胁 产生 的 可 能 性 ,最 后 对 威胁 造成 的 影响 进行 分 析 。 

威胁 的 影响 可 以 分 为 对 人 员 的 影响 、 对 业务 的 影响 和 对 财产 的 影响 等 。 在 考虑 这 些 影 
响 时 ,假定 不 存在 控制 措施 ,将 上 述 各 值 相 加 后 填 人 表 中 。 可 以 将 威胁 的 可 能 性 和 威胁 的 影 
响 均 分 为 1 一 5 级 。 确 定 威胁 的 可 能 性 和 威胁 的 影响 后 ,计算 总 的 影响 值 。 表 8. 16 中 采用 
了 简单 加 法 。 在 具体 评估 中 ,可 以 由 用 户 根据 具体 情况 来 确定 计算 方法 。 

最 后 分 析 是 否 采 用 了 能 够 减 小 威胁 的 控制 措施 ,包括 从 外 部 保障 的 和 从 内 部 建立 的 控 
制 措施 ,并 确定 其 有 效 性 、 对 其 进行 赋值 。 表 8. 16 中 ,将 控制 措施 的 有 效 性 分 为 1 一 5 等 级 。 
在 此 基础 上 ,根据 公式 求 出 总 值 , 即 为 风险 值 。 


表 8.16 风险 评估 表 


对 人 的 | 对 财产 | 对 业务 已 采用 的 控制 措施 
威胁 类 型 可 能 性 | 影响 “| 的 影响 | 的 影响 | 束 响 值 | 外 部 | 内 部 | 及 险 人 
威胁 1 4 1 1 2 8 2 2 4 
威胁 2 3 2 1 1 和 3 3 6 
威胁 3 5 2 3 1 11 1 2 


8.8 本 章 小 结 


本 章 介绍 了 信息 系统 安全 风险 评估 的 基础 知识 。 首 先 介绍 了 风险 评估 的 相关 概念 、 意 
义 和 内 涵 , 然 后 介绍 了 风险 评估 的 相关 标准 和 风险 评估 工具 。 接 着 简要 介绍 了 风险 评估 的 
两 种 方式 。 详 细 分 析 了 风险 评估 的 基本 步骤 及 其 各 步骤 的 主要 任务 。 在 介绍 风险 评估 方法 
的 基础 上 ,详细 地 对 典型 的 信息 系统 安全 风险 评估 方法 进行 了 分 析 。 


8.9 习 题 


. 简要 说 明 风险 分 析 的 过 程 。 

. 简略 介绍 几 种 风险 评估 的 标准 。 

. 风险 评估 的 方式 有 哪些 ”并 简要 说 明 。 

. 试 比 较 定 性 风险 评估 和 定量 风险 评估 的 优 缺 点 。 
. 风险 评估 的 工具 有 哪些 ? 并 简要 说 明 。 

. 简 述 层次 分 析 法 的 主要 步骤 。 


> 


9.1 电子 政务 信息 系统 安全 示例 


电子 政务 信息 系统 是 政府 综合 运用 计算 机 和 网 络 技术 ,将 党 政 机 关 的 办 公 业 务 和 公文 
流转 转移 到 网 络 平台 ,以 实现 党 政事 务 的 公开 .透明 ,高 效 , 并 促进 以 信息 的 共享 为 目的 的 综 
合 信息 系统 的 发 展 。 电 子 政务 系统 通常 包含 两 大 部 分 : 内 部 政务 办 公 系 统 和 对 外 服务 部 
分 。 通 常情 况 下 ,电子 政务 系统 中 内 部 办 公 系统 的 数据 中 涉及 政府 机 密 信息 ,由 于 网 络 的 开 
放 性 与 共享 性 ,网 络 中 的 诸多 不 安全 因素 必然 会 影响 到 电子 政务 信息 系统 内 部 的 安全 。 按 
照 密级 最 大 化 原则 ,一 般 的 电子 政务 网 都 是 涉 密 网 ,所 以 要 严格 按照 涉 密 信 息 系 统 的 建设 要 
求 进行 规划 建设 。 因 此 ,为 了 确保 电子 政务 信息 系统 功能 的 正常 发 挥 ,防止 信息 系统 中 安全 
事件 的 发 生 , 需 要 在 分 析 电 子 政务 信息 系统 风险 及 需求 的 基础 上 ,进行 安全 规划 与 设计 ,从 
而 建立 一 套 完 整 的 安全 解决 方案 或 安全 保障 体系 。 


9.1.1 系统 风险 分 析 


电子 政务 信息 系统 是 党 政 机 关 的 信息 处 理 系 统 , 存 在 一 些 国 家 及 政治 上 的 敏感 信息 , 因 
此 电子 政务 系统 必然 存在 一 定 的 安全 风险 。 安 全 风险 分 析 主 要 是 对 系统 资源 威胁 及 脆弱 
性 的 分 析 , 是 电子 政务 信息 系统 安全 规划 与 建设 的 前 提 。 我 国电 子 政务 信息 系统 的 安全 性 
系数 比较 低 , 安 全 防御 能 力 十 分 脆弱 。 总 体 来 说 ,电子 政务 信息 系统 的 安全 风险 来 自 于 技 
术 、 管 理 \ 法 律 法 规 以 及 安全 意识 等 方面 。 

风险 分 析 将 涉及 几 个 重要 的 参数 ,包括 威胁 发 生 的 可 能 性 、 危 害 程度 、 威 胁 与 危害 程度 
之 间 的 关系 等 。 进 行 安全 风险 分 析 时 需要 建立 风险 分 析 模 型 ,以 求 能 够 定性 并 定量 地 描述 
风险 、 威 胁 及 脆弱 性 。 但 是 目前 还 没有 一 个 普遍 适用 的 风险 分 析 量 化 模型 ,因此 很 难 完成 对 
电子 政务 信息 系统 风险 的 量化 分 析 。 尽 管 如 此 ,通过 分 析 系 统 所 面临 的 各 种 安全 威胁 ,仍然 
可 以 通过 定性 的 方法 准确 定位 到 安全 风险 的 分 布 . 危 害 程度 及 解决 方法 。 

1. 安全 威胁 分 析 

电子 政务 信息 系统 安全 策略 可 以 根据 安全 威胁 发 生 的 可 能 性 等 级 进行 制定 与 实施 。 电 
子 政务 信息 系统 安全 威胁 发 生 的 可 能 性 可 以 划分 为 4 个 等 级 : 荆 、 卫 、 轩 、 人 级 威胁 。 其 中 
I 级 表示 肯定 会 发 生 的 威胁 ,必须 要 了 予以 考虑 ; 了 级 表示 可 能 会 发 生 的 威胁 ,应 予以 考虑 ; 
了 级 表示 可 能 发 生 的 威胁 ,但 可 以 暂缓 考虑 ; 人 W 级 表示 基本 不 会 发 生 的 威胁 ,可 以 暂时 不 

2. 网 络 攻 击 分 析 

由 于 电子 政务 信息 系统 的 信息 和 用 户 具 有 国家 特性 ,因此 可 能 受到 来 自 于 间谍 、 恐 怖 分 


a 
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子 . 专 业 罪犯 .黑客 .内 部 人 员 ,蓄意 破坏 者 等 人 员 的 攻击 ,攻击 发 生 的 可 能 性 大 小 可 以 分 别 
用 I 级、 了 级、 肛 级 、 信 级 来 表示 ,攻击 者 发 起 攻击 的 位 置 既 可 以 是 内 部 网 络 ,也 可 以 是 外 部 
网 络 , 从 内 部 网 络 发 起 的 攻击 称 为 本 地 攻击 ,从 外 部 网 络 发 起 的 攻击 称 为 远程 攻击 。 还 有 另 
外 一 种 攻击 的 可 能 性 , 即 伪 远 程 攻击 , 指 系 统 内 部 人 员 从 本 地 获取 一 些 机 密 信息 后 ,为 了 掩 
盖 攻 击 者 的 身份 ,攻击 过 程 从 外 部 远程 发 起 ,造成 外 部 人 侵 的 假象 。 为 了 确定 电子 政务 信息 
系统 安全 策略 的 控制 参数 ,需要 明确 攻击 者 的 攻击 目的 。 攻 击 者 的 目的 多 种 多 样 ,例如 政治 
目的 、 经 济 目的 ,蓄意 破坏 、 竞 争 等 。 攻 击 者 发 动 攻 击 的 可 能 性 及 攻击 目的 分 析 如 表 9. 1 所 
示 。 表 9.1 中 的 数据 显示 ,电子 政务 信息 系统 要 重点 防范 出 于 政治 目的 的 间谍 从 远程 或 本 
地 发 起 的 攻击 ,同时 要 防止 内 部 人 员 出 于 经 济 利益 发 起 的 本 地 攻击 或 伪 远 程 攻击 。 另 外 ,六 
意 破 坏 者 以 纯粹 破坏 或 政治 利益 为 目的 发 起 的 远程 攻击 也 不 容 忽视 。 


表 9.1 攻击 者 发 动 攻击 的 可 能 性 及 攻击 目的 分 析 


攻击 者 攻击 可 能 性 攻击 目的 
攻击 位 置 /攻击 目的 | 本 地 攻击 | 远程 攻击 政治 经 济 | 蓄意 破坏 | 竞争 
间谍 下 级 I 级 I 级 I 级 下 级 下 级 下 级 
恺 怖 分 子 级 下 级 下 级 I 级 I 级 I 级 级 
专业 罪犯 级 下 级 下 级 级 I 级 I 级 级 
黑客 机 级 I 级 下 级 机 级 下 级 下 级 级 
内 部 人 员 I 级 下 级 I 级 机 级 I 级 下 级 级 
蓄意 破坏 者 下 级 I 级 下 级 I 级 机 级 I 级 级 
攻击 者 常常 借助 一 定 的 工具 对 电子 政务 信息 系统 发 起 攻击 ,常用 的 攻击 工具 有 扫描 工 


具 、 数 据 嗅 探 、 木 马 程序 ,DoS 攻击 工具 、 攻 击 工具 包 等 ,利用 这 些 攻击 工具 ,攻击 者 可 以 实现 
对 电子 政务 信息 系统 的 内 外 部 主机 、 线 路 及 路 由 交换 节点 的 入 侵 。 由 于 信息 存储 在 主机 上 ， 
电子 政务 系统 应 该 重点 防范 对 系统 内 外 部 主机 发 起 的 攻击 ,适当 考虑 对 网 络 线路 及 路 由 交 
换 节 点 上 的 数据 嗅 探 和 数据 拦截 。 另 外 ,社会 工程 攻击 已 经 成 为 网 络 攻击 中 非常 流行 的 人 
侵 方 式 ,社会 工程 攻击 是 指 利用 人 们 的 心理 特征 骗取 用 户 的 信任 ,获取 机 密 信息 、 系 统 设置 
等 不 公开 资料 ,从 而 达到 攻击 的 目的 。 社 会 工程 学 看 似 只 是 简单 的 欺骗 ,但 在 信息 系统 安全 
中 , 它 的 攻击 效果 是 最 显著 的 ,其 发 生 的 可 能 性 为 " 工 级 ”, 因 此 要 高 度 重视 社会 工程 学 攻击 
方法 。 

3. 脆弱 点 分 析 

在 电子 政务 信息 系统 的 设计 、 实 现 、 配 置 及 控制 过 程 中 ,往往 存在 一 些 可 能 被 攻击 者 利 
用 从 而 造成 系统 安全 危害 的 漏洞 , 称 为 脆弱 点 。 系 统 中 各 种 资源 的 脆弱 点 往往 成 为 攻击 者 
利用 的 对 象 ,从 而 实现 对 电子 政务 系统 的 非法 或 非 授 权 入 侵 。 系 统 资源 包括 操作 系统 资源 、 
数据 库 资 源 . 公 共 服 务 软件 .个 人 工具 软件 ,应用 系统 、 网 络 管理 软件 .专用 软件 .嵌入 式 软件 
等 。 分 析 电 子 政务 信息 系统 资源 中 可 能 存在 的 脆弱 点 发 现 ,由 于 系统 管理 员 和 用 户 在 受 教 
育 程 度 、 安 全 意识 方面 参差 不 齐 ,很 难 做 到 系统 完全 正确 的 配置 ,因此 由 系统 配置 所 产生 的 
脆弱 点 特别 多 。 同 时 ,由 于 部 分 软件 厂商 在 系统 安全 设计 及 实施 方面 缺乏 系统 、 综 合 的 考 
处, 使 得 应 用 系统 和 专业 软件 在 设计 与 实现 过 程 中 存在 I 级 ”安全 脆弱 点 的 可 能 性 极 大 。 
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另外 ,电子 政务 信息 系统 处 理 文件 资料 时 广泛 采用 安全 性 设计 与 实现 较 差 的 Microsoft 
Office 系列 的 办 公 软 件 , 因 此 对 于 个 人 工具 软件 的 风险 级 别 也 比较 高 。 

4. 支持 系统 风险 分 析 

电子 政务 信息 系统 的 支持 系统 包括 通信 系统 .电力 系统 .空调 系统 及 消防 系统 等 ,这 些 
支持 系统 的 风险 主要 体现 在 服务 能 力 的 下 降 甚至 是 丧失 。 对 于 支持 系统 的 漏洞 ,信息 系统 
应 该 制定 相应 的 控制 机 制 进行 应 对 。 

5. 人 员 风 险 分 析 

工作 人 员 在 使 用 电子 政务 信息 系统 过 程 中 ,其 操作 行为 可 能 会 给 系统 带 来 安全 风险 , 包 
括 人 员 在 业务 素质 和 政治 等 方面 出 现 的 问题 。 当 然 , 针 对 这 类 风险 电子 政务 系统 已 有 相应 
的 控制 机 制 ,但 人 们 应 该 解决 从 传统 的 控制 机 制 到 网 络 化 的 控制 机 制 的 过 渡 。 

6. 残余 风险 分 析 

任何 系统 都 不 可 能 完全 没有 风险 ,并 且 风 险 也 不 可 能 完全 被 消除 , 零 风 险 是 不 存在 的 ， 
因此 会 有 一 定 的 残余 风险 。 那 些 在 实现 了 新 的 或 增强 的 安全 控制 措施 以 后 还 剩 下 的 风险 称 
为 残余 风险 。 残 余 风 险 是 风险 分 析 的 最 后 一 步 。 完 成 风险 分 析 并 确定 风险 降低 措施 后 , 必 
须 开展 进一步 的 风险 评估 以 保证 风险 已 降 至 可 接受 水 平 。 对 于 电子 政务 信息 系统 来 说 , 残 
余 风 险 若 未 降低 到 可 接受 的 水 平 ,那么 就 必须 重复 风险 管理 的 过 程 , 直 到 将 残余 风险 降低 到 
可 接受 的 水 平 为 止 。 

风险 分 析 的 目的 是 明确 安全 需求 .制定 安全 规划 并 实施 安全 设计 ,但 是 由 于 无 法 定量 地 
进行 风险 分 析 , 导 致 分 析 结 果 并 不 准确 ,造成 了 风险 分 析 的 局 限 性 。 另 外 ,由 于 攻击 手段 和 
方法 的 不 断 变化 ,导致 安全 风险 不 可 能 以 穷 举 的 方式 对 其 模式 化 .固定 化 。 同 时 ,防护 机 制 
的 投入 和 产 出 往往 不 能 准确 量化 ,也 会 导致 风险 分 析 的 结果 无 法 准确 表达 ,造成 风险 分 析 的 
困难 与 缺陷 。 尽 管 如 此 ,电子 政务 系统 仍然 需要 通过 风险 分 析 获 得 将 风险 控制 在 可 接受 范 
围 的 方法 。 


9.1.2 安全 需求 分 析 


电子 政务 系统 安全 需求 分 析 是 进行 安全 规划 与 设计 的 前 提 和 基础 。 电 子 政务 不 同 于 一 
般 的 电子 商务 ,根据 我 国电 子 政务 建设 的 现状 ,系统 总 的 安全 需求 是 安全 保密 、 可 靠 、 可 信 。 
电子 政务 对 安全 的 特殊 需求 实际 上 就 是 要 合理 地 解决 网 络 开 放 性 与 安全 性 之 间 的 矛盾 。 在 
电子 政务 系统 信息 畅通 的 基础 上 ,有 效 阻止 非法 访问 与 攻击 对 系统 的 破坏 。 

用 户 对 系统 安全 提出 的 直接 且 实际 的 需求 是 最 高 层次 的 安全 需求 ,系统 安全 的 任务 就 
是 将 用 户 的 这 种 非 专业 的 实际 需求 转换 成 科学 合理 .专业 性 的 安全 需求 。 从 信息 保护 方式 
的 观点 进行 分 析 , 可 以 将 用 户 安全 需求 分 为 以 下 几 个 方面 。 

1，Internet 互联 需求 

电子 政务 系统 与 因特网 互联 ,涉及 的 安全 需求 包括 信息 完整 性 保护 .信息 源 鉴别 服务 、 
用 户 身 份 识别 及 访问 控制 等 。 根 据 国家 管理 机 构 对 电子 政务 网 的 相关 规定 ,电子 政务 网 不 
得 与 因特网 进行 物理 连接 ,需要 采用 物理 隔离 的 方法 将 二 者 隔 开 , 从 而 从 根本 上 防止 开放 的 
因特网 对 政务 网 构成 安全 威胁 。 
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2. 内 部 网 互联 需求 

内 部 网 互联 需求 包括 身份 鉴别 、 访 问 控制 ,加密 、 密 钥 管理 等 安全 需求 。 

3. 环境 安全 需求 

电子 政务 信息 系统 所 处 的 物理 环境 (机 房 、 场 地 设施 等 ) 、 系 统 环境 (操作 系统 、 数 据 库 系 
统 等 )、 网 络 环 境 (内 网 与 外 网 ) 等 不 受 自然 、 人 为 等 因素 破坏 的 安全 需求 。 同 时 ,环境 配置 、 
安全 控制 及 安全 培训 等 也 属于 环境 安全 需求 。 

4. 服务 安全 需求 

电子 政务 信息 系统 包含 多 种 服务 ,例如 Web 服务 .电子 邮件 及 各 种 应 用 业务 等 ,对 应 的 
安全 需求 即 是 对 这 些 服务 的 安全 性 保障 。 

5. 功能 安全 需求 

功能 安全 需求 包括 对 漏洞 扫描 \ 入 侵 检测 .身份 认证 ,数字 签名 ,加密 解密 、 访 问 控制 . 数 
据 备份 与 恢复 .安全 审计 、 应 急 响应 等 功能 的 安全 需求 。 

6. 性 能 安全 需求 

信息 系统 与 安全 相关 的 性 能 需求 有 机 密 性 、 完 整 性 ,可 控 性 、 可 用 性 、 可 审查 性 及 抗 抵赖 
性 等 。 

7. 管理 安全 需求 

电子 政务 中 与 管理 相关 的 安全 需求 包括 人 员 管 理 ,技术 管理 ,系统 管理 .组 织 管理 ,管理 
开发 工具 等 安全 需求 。 

上 述 7 个 方面 的 安全 需求 分 别 从 不 同 的 角度 表达 了 用 户 对 电子 政务 信息 系统 的 安全 描 
述 。 分 析 上 述 需 求 并 将 其 规范 化 ,文档 化 ,最 后 将 规范 化 的 安全 需求 交 由 用 户 进行 确认 ,最 
终 得 到 电子 政务 信息 系统 的 正式 的 ,文档 化 的 总 体 安 全 需求 。 


9.1.3 安全 规划 与 设计 


以 电子 政务 信息 系统 的 安全 风险 分 析 和 安全 需求 为 依据 ,进行 安全 规划 与 设计 ,首先 应 
明确 3 点 设计 要 求 : 

(1) 对 外 开放 的 资源 及 开放 程度 。 

(2) 要 保护 的 资源 及 保护 程度 。 

(3) 信息 发 布 及 访问 的 方式 。 

其 次 应 遵守 8 条 设计 原则 : 

(1) 标准 化 与 一 致 性 原则 。 


电子 政务 信息 系统 在 进行 安全 设计 时 必须 遵循 一 系列 的 标准 和 规范 ,制定 明确 而 前 后 
一 致 的 安全 策略 和 实施 过 程 , 从 而 保证 系统 的 互联 互通 .信息 共 享 。 


(2) 系统 安全 木 桶 原则 。 

系统 安全 木 桶 原则 是 指 对 信息 系统 全 面 ,均衡 地 进行 保护 。“ 木 桶 的 最 大 容积 取决 于 最 
短 的 一 块 木板 ”。 电 子 政务 信息 系统 是 一 个 复杂 的 综合 系统 , 它 本 身 在 操作 物理 和 管理 上 
存在 种 种 漏洞 构成 了 系统 的 安全 脆弱 性 。 攻 击 者 肯定 会 在 系统 中 最 薄弱 的 位 置 进行 攻击 。 
因此 ,要 标识 系统 安全 威胁 ,评估 其 脆弱 性 ,及 早 地 检测 并 汇报 最 新 受到 的 攻击 并 采取 改进 
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措施 。 最 后 评估 安全 风险 可 能 造成 的 损失 ,以 便 改 进 安全 机 制 ,优化 保护 强度 。 

(3) 整体 性 原则 。 

整体 性 原则 要 求 系统 在 受到 攻击 破坏 时 ,能 够 尽 可 能 快速 地 恢复 工作 及 服务 能 力 , 减 少 
损失 。 因 此 ,要 建立 健全 系统 安全 备份 与 恢复 机 制 , 做 好 应 急 预 案 。 

(4) 技术 与 管理 相 结合 的 原则 。 

电子 政务 信息 系统 安全 涉及 人 技术、 操作 等 要 素 ,仅仅 依靠 管理 或 技术 是 不 可 能 实现 的 。 
因此 ,必须 将 各 种 安全 技术 与 运行 管理 机 制 .操作 技能 与 管理 制度 培训 、 安 全 制度 建设 相 结 合 。 

(5) 统筹 规划 ,分 步 实施 原则 。 

首先 根据 网 络 的 实际 需求 ,进行 统一 规划 ,建立 基本 的 安全 体系 ,来 满足 基本 的 、 必 须 的 
安全 性 要 求 。 然 后 , 随 着 网 络 规模 的 扩大 及 应 用 的 增加 ,网 络 复杂 度 的 变化 ,再 加 强 安全 防 
护 力 度 ,并 将 安全 体系 逐步 细 化 。 

(6) 授权 原则 。 

为 电子 政务 系统 中 的 每 种 资源 设置 访问 权限 ,制度 访问 控制 规则 阻止 对 资源 的 越权 使 
用 与 操作 ,对 用 户 进行 最 小 化 授权 ,确定 授权 用 户 的 职责 。 

(7) 确认 原则 。 

确认 电子 政务 信息 系统 中 的 数据 信息 的 采集 ` 输 入 ,输出 处理、 传输 及 存储 等 各 个 环节 
的 安全 性 、 合 法 性 、 正 确 性 和 有 效 性 。 

(8) 成 本 性 能 与 效能 平衡 原则 。 

成 本 性 能 与 效能 平衡 原则 要 求 以 最 小 的 安全 投资 成 本 ,取得 最 大 的 性 能 和 安全 效能 。 

主要 的 安全 机 制 和 安全 技术 包括 数据 加 密 机 制 、 完 整 性 保护 机 制 , 通 信保 密 机 制 、 身 份 
鉴别 机 制 ,访问 控制 机 制 、 网 络 监 控 机 制 \ 安 全 审计 机 制 、 安 全 事件 响应 机 制 、 数 据 备份 与 恢 
复 机 制 、 密 钥 管 理 机 制 . 防 病毒 技术 、 防 火 墙 技术 数字 签名 技术 、 网 络 隔 离 技术 等 。 


9.1.4 安全 解决 方案 


完整 的 安全 体系 结构 应 覆盖 系统 的 各 个 层面 ,包括 物理 安全 ,网 络 安全 .系统 安全 、 应 用 
安全 及 安全 管理 5 个 部 分 。 本 节 从 电子 政务 信息 系统 的 用 户 及 业务 需求 出 发 ,根据 信息 系 
统 资源 保护 的 需求 ,按照 信息 系统 安全 体系 结构 所 覆盖 的 层面 ,分 别 从 电子 政务 的 物理 安 
全 、 网 络 安 全 、 系 统 安全 ,应 用 安全 及 安全 管理 5 个 不 同 的 方面 ,设计 安全 解决 方案 。 

1. 物理 安全 解决 方案 

电子 政务 信息 系统 的 物理 安全 是 政务 网 络 系统 安全 的 前 提 条 件 。 物 理 安全 主要 包括 环 
境 安全 ,设备 安全 和 通信 线路 安全 。 与 此 相关 的 安全 标准 很 多 ,如 (电子 计算 机 场地 通用 规 
范 》《 计 算 机 场地 安全 要 求 》《 信 息 技 术 设备 的 无 线 电 骚扰 限 值 和 测量 方法 》 以 及 国家 标准 
中 有 关 电 磁 屏蔽 的 技术 标准 等 。 除 了 遵守 以 上 有 关 场 地 安全 、 防 电磁 干扰 的 相关 标准 外 , 电 
子 政务 信息 系统 还 应 该 制定 严格 的 机 房 及 信息 设备 的 管理 制度 ,定期 分 析 日 志 信息 ,对 重要 
设备 配置 人 侵 检 测 和 警报 功能 ,并 建立 健全 重要 资源 的 备份 管理 制度 。 

2. 网 络 安全 解决 方案 

1) 防火 墙 技 术 

电子 政务 系统 是 一 个 由 省 .市 、 县 政府 网 络 组 成 的 三 级 网 络 体系 结构 ,从 网 络 安全 的 角 
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度 来 说 ,它们 属于 不 同 的 网 络 安全 域 ,因此 在 各 级 电子 政务 系统 的 网 络 边界 以 及 内 部 网 与 外 
部 网 (如 Internet) 之 间 应 采用 防火 墙 技术 进行 网 络 隔离 ,并 且 要 实施 相应 的 安全 控制 策略 。 
网 络 边界 安全 一 般 采 用 防火 墙 等 成 熟 产品 和 技术 实现 网 络 边界 的 物理 隔离 ,并 采用 安全 检 
测 手段 防范 非 授权 用 户 的 入 侵 或 攻击 。 对 外 开放 查询 功能 是 电子 政务 系统 很 重要 的 一 项 服 
务 ,为 了 控制 关键 服务 器 的 授权 访问 ,建议 把 对 外 开放 的 服务 器 集合 起 来 划分 为 一 个 专门 的 
服务 器 子 网 ,并 设置 防火 墙 策 略 对 其 进行 保护 与 控制 。 

2) 漏洞 检测 及 入 侵 检测 技术 

为 了 摆脱 被 动人 侵 的 境地 ,电子 政务 信息 系统 应 该 在 采取 被 动 防御 策略 的 同时 ,也 启用 
主动 防御 功能 ,漏洞 检测 及 入 侵 检 测 技术 是 主动 防御 策略 的 重要 组 成 部 分 ,其 目的 是 提供 漏 
洞 的 识别 与 发 现 , 实 时 入 侵 检 测 及 采取 相应 的 防护 手段 ,如 发 现 违规 行为 .内 部 越权 访问 、 阻 
断 网 络 连 接 等 行为 。 

漏洞 检测 技术 通常 采用 两 种 策略 , 即 被 动 式 策略 和 主动 式 策略 。 被 动 式 策略 是 基于 主 
机 的 检测 ,对 系统 中 的 弱 口 令 .不 安全 的 设置 以 及 其 他 与 安全 策略 相悖 的 对 象 进行 检测 。 主 
动 式 策略 是 基于 网 络 的 检测 ,通过 执行 一 些 脚本 文件 对 系统 进行 攻击 ,记录 系统 的 反应 从 而 
发 现 其 中 的 漏洞 。 漏 洞 检测 的 结果 实际 上 是 对 系统 安全 性 能 的 评估 。 入 侵 检测 技术 大 致 分 
为 5 种 : 基于 应 用 的 检测 、 基 于 主机 的 检测 、 基 于 网 络 的 检测 、 基 于 目标 的 检测 和 混合 型 
检测 。 

不 同 的 网 络 拓 扑 结 构 对 漏洞 扫描 和 入 侵 检测 系统 功能 和 结构 的 要 求 不 同 ,针对 电子 政 
务 网 络 系统 ,漏洞 扫描 和 人 侵 检测 系统 可 以 设置 为 安全 服务 器 和 检测 代理 模式 ,分布 在 网 上 
的 检测 代理 包括 公用 服务 器 检测 代理 .主机 检测 代理 和 网 络 检测 代理 。 

3) 数据 传输 安全 技术 

为 了 保证 电子 政务 信息 系统 中 各 子 网 之 间 数 据 传输 的 机 密 性 和 完整 性 ,同时 对 用 户 采 
用 强身 份 认 证 ,建议 在 电子 政务 网 中 建立 安全 虚拟 专用 网 (SVPN) ,同时 采用 防火 墙 技术 与 
密码 技术 相 结 合 的 方法 ,从 而 构建 安全 的 内 联网 。VPN 设备 系统 为 了 同时 满足 电子 政务 网 
络 安全 的 通用 性 和 独特 性 ,需要 具备 以 下 几 个 特性 : 

。 身份 唯一 性 鉴别 能 力 。 

。 数据 传输 加 密 保 证 数据 机 密 性 完整 性 以 及 抗 重 放 攻击 的 能 力 。 

。 隧道 内 明文 和 密 文 传输 的 能 力 。 

。 网 络 边界 隔离 及 访问 控制 能 力 。 

。 安全 策略 .安全 体系 及 密 钥 的 安全 管理 .配置 与 审计 功能 。 

。 良好 的 网 络 接 入 透明 性 。 

3. 系统 安全 解决 方案 

系统 级 安全 主要 包括 操作 系统 安全 和 数据 库 系统 安全 。 对 于 关键 的 服务 器 和 工作 站 ， 
如 数据 库 服 务 器 、 代 理 服务 器 、 备 份 服务 器 和 网 管 工 作 站 ,应 该 采用 服务 器 版 本 的 操作 系统 ， 
如 UNIX、Windows Server 等 。 而 对 于 办 公 终 端 、 网 管 终端 可 采用 图 形 用 户 界面 操作 系统 。 
计算 机 病毒 危害 严重 ,为 了 保护 关键 服务 器 及 终端 设备 ,必须 安装 防 病毒 软件 和 系统 防火 
墙 ,并 及 时 更 新 病毒 库 ,安装 补丁 程序 ,关闭 不 必要 的 服务 。 数 据 库 管理 系统 应 该 具备 自主 
访问 控制 身份 验证 授权 与 审计 功能 。 
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4. 应 用 安全 解决 方案 

电子 政务 信息 系统 的 应 用 安全 主要 处 理 系统 在 提供 应 用 业务 和 服务 过 程 中 的 安全 问 
题 ,采用 防 病毒 .身份 认证 等 技术 及 其 他 安全 措施 ,对 系统 所 提供 的 各 种 应 用 业务 和 服务 进 
行 安全 性 配置 。 

1) 典型 的 应 用 安全 技术 

(1) 防 病毒 技术 。 

病毒 是 系统 中 最 常见 的 威胁 因素 ,而 病毒 防范 体系 主要 解决 病毒 查 杀 与 清除 问题 ,建立 
健全 病毒 防范 体系 是 电子 政务 信息 系统 建设 的 重 中 之 重 。 根 据 电 子 政务 的 网 络 系统 结构 ， 
病毒 防范 体系 由 防 病毒 服务 器 端 和 防 病毒 客户 端 组 成 。 防 病毒 服务 器 端 能 够 实现 交互 式 操 
作 , 防 病毒 客户 端 进行 病毒 扫描 与 查 杀 , 设 定 病毒 防范 策略 。 防 病毒 客户 端 安装 在 系统 关键 
主机 中 ,如 关键 服务 器 .工作 站 和 网 管 终端 等 。 病 毒 防范 体系 能 够 从 多 个 层次 进行 病毒 防 
范 , 即 在 工作 站 、 服 务 器 .网 关 3 个 层次 安装 相应 的 防 病毒 软件 以 提供 全 方位 的 保护 。 

(2) 身份 认证 技术 。 

公 钥 基础 设施 对 于 电子 政务 实现 业务 处 理 具有 重要 意义 。 公 钥 基 础 设施 的 存在 ,为 电 
子 政务 的 事务 处 理 建立 信心 和 信任 。 公 钥 基 础 设施 可 以 做 到 确认 发 送 方 的 身份 ,保证 发 送 
方 所 发 信息 的 机 密 性 .完整 性 以 及 不 可 否认 性 。 

2) 应 用 安全 措施 

。 实现 应 用 业务 运行 平台 所 提供 的 安全 性 功能 程序 与 系统 所 提供 的 安全 性 功能 程序 

的 互补 。 

。 在 开发 应 用 系统 过 程 中 ,采用 安全 服务 API 直接 调用 或 配置 某 些 安全 服务 模块 。 

。 根据 用 户 要 求 重 新 定制 与 设备 配套 的 安全 应 用 ,如 安全 电子 邮件 、 网 络 文件 保险 

3) 应 用 安全 配置 举例 

(1) 办 公 自 动 化 平台 安全 配置 。 

Lotus Notes 是 一 个 世界 领先 级 的 办 公 自 动 化 工作 平台 ,能 够 实现 迅速 、 全 方位 的 文件 
流转 、 信 息 采 集 、 处 理 、 查 询 等 应 用 业务 。 由 于 Lotus Notes 具备 一 套 完 善 可 靠 的 安全 机 制 ， 
能 够 提供 包括 身份 认证 ,数字 签名 、 信 息 加 密 解 密 等 安全 功能 。 因 此 ,为 了 满足 电子 政务 办 
公 自 动 化 应 用 系统 对 安全 保密 的 相关 需求 ,可 以 利用 Lotus Notes 的 这 些 安全 功能 ,对 相关 
应 用 软件 进行 修改 ,实现 用 户 身份 鉴别 认证 ,数字 签名 访问 控制 等 安全 功能 ,从 而 极 大 地 提 
高 其 安全 服务 能 力 。 

(2) 文件 存储 安全 配置 。 

文件 保险 柜 是 实现 电子 政务 系统 中 文件 的 安全 存储 的 一 个 应 用 程序 ,该 应 用 程序 的 功 
能 不 仅 可 以 将 文件 进行 加 密 保 存 ,还 可 以 提供 双 因子 认证 功能 。 

(3) 文件 传输 安全 配置 。 

在 电子 政务 信息 系统 中 ,文件 的 传输 安全 是 极其 重要 的 ,根据 文件 性 质 与 种 类 ,可 分 为 
机 密 文件 .重要 文件 .关键 文件 .普通 文件 .公开 文件 等 ,不 同 种 类 的 文件 对 传输 所 要 求 的 安 
全 级 别 也 有 差别 。 但 不 论 是 何 种 文件 ,在 传输 过 程 中 都 有 以 下 几 方 面 的 安全 需求 。 

@ 机 密 性 保护 : 根据 文件 的 种 类 及 其 安全 要 求 , 对 所 传输 的 数据 进行 不 同安 全 等 级 的 
加 密 保护 。 


ss 
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@ 完整 性 保护 : 数据 在 传输 的 过 程 中 不 能 被 自 改 。 

@ 身份 验证 : 通信 双方 虽然 互 不 见面 ,但 是 要 进行 通信 双方 的 身份 鉴别 与 验证 ,以 防 
假冒 。 

@ 抗 抵赖 性 : 文件 传输 成 功 后 ,发 送 方 不 能 否认 其 发 送 的 信息 ,接收 方 也 不 能 否认 其 
收 到 的 信息 ,可 以 通过 数字 签名 实现 。 

为 了 实现 文件 传输 的 上 述 安 全 需求 ,可 以 通过 文件 安全 处 理 程序 先 对 文件 进行 安全 预 
处 理 再 传送 ,或 者 通过 安全 拨号 通信 程序 来 保障 传送 文件 的 安全 。 另 外 ,通过 调用 安全 服务 
API 修改 现 有 的 文件 传输 程序 ,也 可 以 提高 传输 的 安全 性 。 

(4) E-mail 安全 配置 。 

E-mail 作为 一 种 非常 有 效 的 文件 共享 和 公文 传递 方法 ,是 电子 政务 系统 使 用 人 数 最 
多 、 使 用 频率 最 高 的 一 个 应 用 软件 。 使 用 电子 邮件 会 面临 一 系列 安全 问题 ,例如 邮件 传递 过 
程 中 被 截获 .解读 甚至 是 算 改 ,同时 也 会 遇 到 假冒 可 信任 者 发 送 邮 件 这 种 非常 有 害 的 行为 。 
对 于 邮件 传递 过 程 中 的 安全 问题 ,可 以 采用 信息 压缩 、 信 息 加 密 和 信息 隐藏 等 手段 来 解决 。 
即使 邮件 被 截获 ,没有 密 钥 的 话 一 样 不 能 解读 邮件 内 容 。 对 于 假冒 可 信者 发 送 邮 件 这 种 行 
为 ,可 以 通过 数字 签名 的 方法 进行 邮件 收发 双方 的 身份 确认 ,并 且 还 可 以 防止 邮件 被 算 改 。 

(5) 信息 共享 安全 配置 。 

电子 政务 信息 系统 将 公开 信息 发 布 到 因特网 进行 信息 共享 ,以 供 公 众 浏览 查询 ,该 阶段 
的 基本 安全 要 求 是 保证 信息 的 完整 性 和 有 效 性 。 电 子 政务 系统 对 外 公开 的 信息 多 为 政策 性 
信息 ,希望 得 到 公众 的 广泛 关注 ,这些 公开 的 信息 并 不 需要 机 密 性 保护 ,而 需要 完整 性 和 准 
确 性 的 保护 。 电 子 政务 信息 系统 内 部 共享 的 信息 ,根据 其 性 质 可 以 分 为 不 同 的 秘密 等 级 , 需 
要 设 定 相 应 的 访问 权限 ,使 得 不 同 级 别 的 用 户 获 得 不 同 的 访问 授权 。CA 认证 授权 体系 为 
电子 政务 信息 系统 的 访问 授权 管理 提供 了 一 种 较为 理想 的 解决 问题 的 途径 。 

5. 安全 管理 解决 方案 

根据 系统 风险 分 析 , 安 全 事件 的 发 生 在 很 大 程度 上 是 由 于 系统 内 部 的 漏洞 以 及 人 为 因 
素 ,尤其 是 人 员 误 操 作 给 系统 带 来 严重 的 损失 和 后 果 。 虽 然 通 过 采取 先进 的 技术 措施 .引进 
先进 的 技术 设备 可 以 减少 这 类 安全 事件 的 发 生 ,减少 电子 政务 系统 的 损失 ,但 是 由 于 系统 的 
主体 是 人 而 非 技术 或 设备 ,人 的 主观 能 动 性 以 及 复杂 性 决定 了 任何 先进 高 级 的 技术 措施 或 
设备 都 无 法 取代 安全 管理 在 系统 安全 中 的 地 位 。 因 此 ,为 了 维护 电子 政务 信息 系统 的 安全 
高 效 运行 ,降低 安全 事故 发 生 的 可 能 性 ,安全 管理 势 在 必 行 。 另 外 ,单纯 依靠 安全 管理 的 手 
段 并 不 能 够 完全 解决 系统 所 遇 到 的 一 切 安全 问题 ,从 系统 辩证 法 的 观点 来 看 ,除了 应 该 强调 
安全 管理 的 重要 性 以 外 ,还 应 该 采用 管理 与 技术 相 结合 的 方法 ,全面 考虑 与 解决 电子 政务 系 
统 的 安全 问题 。 

电子 政务 信息 系统 中 的 系统 保护 及 信息 保护 需求 强度 不 是 仅仅 由 某 一 个 单位 所 决定 
的 ,而 是 关系 到 整个 国家 的 安全 需求 ,是 由 组 织 机 关 根 据 国 家 安全 需求 进行 分 配 与 管理 的 。 
针对 电子 政务 信息 系统 ,相关 的 安全 管理 标准 、 规 范 及 制度 应 在 国家 法 律 法 规 和 制度 的 基础 
上 制定 。 

1) 组 织 管理 

为 了 加 强 电子 政务 信息 系统 的 组 织 管理 ,各 级 党 政 机 关 应 该 建立 健全 信息 系统 安全 管 
理 机 构 ,并 根据 国家 信息 系统 安全 的 相关 法 律 法 规 和 制度 规范 负责 贯彻 实施 ,并 完善 相关 实 
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施 细则 。 按 照 垂 直 管 理 的 原则 ,电子 政务 系统 的 下 级 机 关 的 安全 管理 工作 由 上 级 机 关 的 安 
全 管理 机 构 进行 指导 与 监督 ,如 果 下 一 级 安全 管理 机 构 之 间 发 生 纠 纷 和 分 歧 , 上 一 级 机 构 应 
该 肩负 起 调解 与 仲裁 的 责任 。 安 全 管理 机 构 的 主要 职能 包括 建立 系统 内 部 人 员 的 安全 操作 
规程 岗位 责任 制度 ,并 确定 信息 系统 安全 负责 人 的 职能 ; 建立 与 各 级 国家 信息 安全 主管 机 
关 、 技 术 保 卫 机 构 的 日 常 工作 关系 ; 严肃 处 理 重 大 泄密 事件 违规 及 违纪 事件 。 由 安全 管理 
机 构 确 定 的 信息 系统 安全 负责 人 的 职能 包括 全 面 负责 本 单位 的 信息 系统 安全 工作 ,组 织 制 
定安 全 教育 和 培训 计划 ,定期 对 系统 做 出 安全 性 评估 ,管理 系统 及 用 户 身 份 识别 号 码 及 口 
令 , 审 查 对 外 公布 的 信息 以 防止 泄密 事件 的 发 生 ,规范 并 监督 系统 操作 人 员 及 维修 人 员 的 行 
为 ,防止 信息 机 密 性 和 完整 性 受到 破坏 。 

2) 人 员 管 理 

人 员 作 为 电子 政务 信息 系统 运行 的 实施 者 ,既是 信息 系统 安全 的 主体 ,也 是 系统 安全 管 
理 的 对 象 。 加 强人 员 安 全 管理 是 确保 电子 政务 信息 系统 安全 的 首要 任务 。 

人 员 管 理 的 对 象 分 为 两 类 : 系统 管理 人 员 和 应 用 人 员 。 系 统管 理 人 员 包 括 系统 管理 
员 、 安 全 管理 员 ,安全 分 析 员 .关键 信息 操作 员 安全 设备 操作 与 维护 员 、 软 硬件 维修 员 以 及 
保安 人 员 等 ; 应 用 人 员 是 使 用 网 络 资源 完成 其 本 职工 作 的 人 员 ,几乎 遍布 系统 的 各 个 部 分 。 

人 员 管 理 的 内 容 涵 六 人 员 审 查 、 岗 位 分 配 、 人 员 培 训 、 人 员 考 核 \ 保 密 合同 及 人 员 调 离 管 
理 。 根 据 电子 政务 信息 系统 的 安全 等 级 确定 人 员 审 查 标准 ,其 中 最 具 普 遍 性 的 基本 素质 要 
求 有 政治 素养 高 .思想 先进 .技术 合格 等 。 不 同 岗 位 的 人 员 分 配 不 同 的 职责 与 权限 ,并 设 定 
其 完成 任务 的 工作 活动 范围 。 关 键 岗 位 人 选 要 进行 严格 的 政治 ,业务 能 力 考 核 , 然 后 进行 必 
要 的 政治 .技术 培训 后 才 允 许 上 岗 ,并且 不 能 兼任 。 为 保证 人 员 的 业务 能 力 和 技术 水 平 , 需 
要 定期 对 从 事 电子 政务 信息 系统 的 操作 及 维护 人 员 进 行 新 技术 、 新 知识 的 培训 。 对 于 涉及 
系统 安全 设备 操作 和 维护 的 人 员 还 应 该 接受 安全 保密 教育 与 培训 。 

3) 技术 安全 管理 

(1) 硬件 设备 管理 。 

电子 政务 信息 系统 安全 运行 的 重要 前 提 是 硬件 设备 的 安全 。 硬 件 设备 的 全 方位 管理 包 
括 硬件 设备 的 购买 使用、 保管 以 及 维护 等 管理 行为 。 

(2) 软件 管理 。 

软件 管理 的 范畴 涵盖 了 对 操作 系统 、 数 据 库 管 理 系统 .应 用 软件 .工具 软件 .安全 软件 和 
原始 数据 的 采购 安装、 使 用 .更 新 .维护 和 防 病毒 的 管理 。 

(3) 密 钥 管 理 。 

密 钥 管 理 原则 通常 有 最 小 特权 原则 、 最 小 设备 原则 、 特 别 分 散 原则 以 及 不 影响 系统 正常 
工作 原则 等 。 密 钥 的 产生 、 分 发 ,传送 、 使 用 \ 保 存 、 备 份 以 及 销毁 等 环节 都 必须 遵循 安全 性 
设计 原则 ,针对 密 钥 的 类 型 及 其 生命 周期 各 个 环节 ,采用 合适 的 密 钥 管 理 办 法 ,集中 生成 并 
管理 电子 政务 信息 系统 的 口令 ,根据 访问 权限 确定 口令 的 长 度 并 定期 更 换 。 

(4) 介质 管理 。 

在 电子 政务 信息 系统 中 ,介质 用 于 信息 的 存储 、 备 份 等 ,对 信息 保护 以 及 系统 恢复 起 到 
关键 作用 。 因 此 ,应 该 高 度 重视 介质 管理 。 介 质 管理 的 主要 内 容 有 介质 的 使 用 登记 、 介 质 的 
复制 和 销毁 、 介 质 库 ` 涉 密 介 质 以 及 涉 密 信息 的 管理 等 。 

(5) 技术 文档 管理 。 
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技术 文档 记录 了 系统 在 设计 、 开 发 及 运行 维护 阶段 的 所 有 技术 信息 ,包括 系统 的 构造 原 
理 、 实 现 方法 .运行 维护 策略 等 ,为 系统 的 进一步 开发 与 改进 提供 依据 。 根 据 安全 级 别 的 不 
同 ,技术 文档 分 为 绝密 级 文档 、 机 密级 文档 、 秘 密级 文档 以 及 一 般 级 文档 4 类 。 根 据 密级 管 
理 规定 ,不同 密级 的 技术 文档 会 受到 不 同 级 别 的 安全 保护 。 各 级 安全 管理 机 构 应 制定 严格 
的 技术 文档 管理 制度 ,明确 管理 责任 人 。 在 使 用 技术 文档 时 ,要 严格 履行 借阅 、 复 制 手续 。 
对 于 秘密 级 以 上 的 关键 技术 文档 要 进行 异地 备份 。 废 弃 文档 的 销毁 也 应 该 履行 严格 的 销 
毁 ,监视 制度 。 

4) 防 病毒 管理 

病毒 的 人 侵 不 仅 会 影响 到 信息 系统 的 正常 运行 ,造成 严重 的 经 济 损失 ,而 且 对 于 电子 政 
务 系统 来 说 ,病毒 侵害 甚至 还 会 影响 到 政治 的 稳定 。 仅 仅 依靠 防 病毒 技术 并 不 能 够 有 效 防 
止 病毒 侵害 ,因此 为 了 更 好 地 解决 病毒 防范 问题 ,必须 要 加 强 病毒 管理 ,从 管理 与 技术 相 结 
合 的 角度 建立 防 病毒 管理 机 制 。 电 子 政务 信息 系统 的 防 病毒 管理 机 制 必须 要 依赖 先进 的 病 
毒 防范 技术 ,形成 跨 平台 、 多 层次 、 全 方位 的 防 病毒 工作 环境 ,提供 强大 的 检测 、 监 控 以 及 清 
除 病毒 的 功能 。 

防 病毒 管理 机 制 必须 满足 如 下 要 求 ， 

。 网 络 防 病毒 软件 的 安装 和 维护 要 简便 ,快捷 。 

。 客户 端 防 病毒 策略 要 强制 定义 和 执行 。 
病毒 识别 与 扫描 机 制 的 更 新 要 方便 、 集 中 。 

。 发 现 和 处 理 未 知 病毒 的 机 制 要 快速 有 效 。 

。 病毒 告警 和 报告 系统 管理 机 制 要 全 面 . 友 好 且 方 便 。 

。 病毒 防护 机 制服 务 自动 化 。 

。 防 病毒 厂商 的 售后 服务 与 技术 支持 能 力 有 保证 。 

。 病毒 防范 管理 机 制 的 建设 要 维持 合理 预算 。 

5) 网 络 连 接管 理 

在 电子 政务 信息 系统 中 ,网 络 连接 的 方式 与 情况 很 多 ,例如 系统 要 利用 公共 网 络 或 者 直 
接 在 公共 网 络 上 组 建 内 联网 ,系统 要 向 公共 网 络 公开 发 布 信息 ,政府 部 门 会 从 公共 网 络 上 获 
取信 息 。 

由 于 电子 政务 信息 系统 具有 国家 性 质 ,因此 系统 必须 要 遵循 国家 安全 主管 部 门 关 于 网 
络 连接 的 相关 规定 和 要 求 。 即 电子 政务 系统 在 没有 彻底 解决 安全 防护 措施 之 前 ,必须 要 将 
电子 政务 内 部 网 络 与 公共 网 络 进行 物理 隔离 。 与 公共 网 络 连 接 的 计算 机 网 络 中 不 能 存放 电 
子 政务 的 敏感 信息 。 

对 于 利用 公共 网 络 组 建 内 部 网 的 电子 政务 系统 ,要 通过 物理 隔离 的 方法 将 公共 网 络 与 
内 部 网 络 的 连接 界面 分 隔 开 , 同 时 制定 相应 的 访问 控制 策略 。 其 次 ,要 保障 公共 网 络 连接 与 
信息 传输 的 安全 ,保护 信息 的 机 密 性 与 完整 性 。 严 禁 内 部 网 中 的 个 人 计算 机 通过 拨号 线路 
上 网 。 

电子 政务 系统 对 外 发 布 的 所 有 信息 应 及 时 更 新 并 进行 完整 性 保护 ,以 免 影响 政府 形象 ， 
造成 政治 影响 。 对 外 提供 的 政策 性 、 指 导 性 信息 要 准确 、 可 靠 。 严 禁 系统 中 的 个 人 绕 开 管理 
控制 机 制 直接 与 公共 网 络 进行 信息 交换 。 政 府 部 门 从 公共 网 络 上 获取 信息 后 ,必须 进行 防 
病毒 检测 ,清除 病毒 后 才 可 以 传送 、 使 用 和 传播 。 
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6) 场地 设施 安全 管理 

(1) 安全 管理 标准 。 

场地 设施 的 安全 管理 应 遵循 国家 标准 (计算 机 场地 安全 要 求 》, 该 标准 将 计算 机 场地 设 
施 的 安全 等 级 分 为 A、B、C 3 个 基本 类 型 。A 类 对 计算 机 场地 的 安全 有 严格 的 要 求 , 并 有 一 
整套 完善 的 安全 措施 ,适合 处 理 秘密 级 以 上 信息 的 场所 设施 。B 类 对 计算 机 场地 的 安全 有 
较 严格 的 要 求 , 有 较 完善 的 安全 措施 , 它 的 安全 性 介 于 A 类 和 C 类 之 间 , 对 国家 信息 系统 重 
要 节点 运行 至 关 重 要 的 场地 设施 均 要 按照 B 类 要 求 执行 。C 类 对 计算 机 场地 的 安全 有 基本 
的 要 求 ,有 基本 的 安全 措施 ,适用 于 处 理 其 他 信息 的 场地 设施 。 

(2) 安全 管理 要 求 。 

电子 政务 信息 系统 的 场地 设施 安全 管理 必须 满足 机 房 场地 选择 要 求 ,如 表 9. 2 所 示 。 


表 9.2 电子 政务 信息 系统 机 房 选 择 安全 要 求 


安全 项 目 A 类 B 类 C 类 
场地 选择 四 四 二 
防火 ® 四 四 
防水 @ ® 二 
防 静电 © 四 = 
防 雷 击 © 四 
防 鼠 害 四 ® 
防 辐射 ® ® 
火灾 报警 和 消防 措施 ® © 
内 部 装修 © ® 时 
供 配 电 系 统 © 四 四 
空调 系统 @ 四 ® 


表 中 符号 说 明 : 一 表示 无 要 求 ; 田 表 示 有 要 求 或 增加 要 求 ; 加 表示 要 求 与 前 一 级 相同 。 


(3) 出 入 控制 。 

根据 场地 设施 中 信息 的 安全 等 级 和 涉 密 范围 进行 分 区 控制 ,规定 工作 人 员 出 入 的 区 域 ， 
严格 控制 各 区 域 和 机 房 的 进出 口 ,并 根据 安全 等 级 和 涉 密 程度 设置 门卫 或 电子 报警 装置 ,对 
外 部 人 员 访 问 或 者 工作 人 员 的 跨 域 访问 都 要 经 过 安全 管理 人 员 的 批准 并 进行 登记 。 

7) 应 急 与 恢复 

紧急 事件 发 生 后 ,根据 事件 的 类 型 ,采取 相应 的 应 急 计 划 与 恢复 管理 ,控制 系统 损失 。 
电子 政务 信息 系统 的 紧急 事件 是 指 已 经 或 将 要 对 系统 造成 伤害 的 事件 ,发 生 以 下 任何 一 种 
情况 ,都 应 视 为 紧急 事件 ,需要 根据 应 急 计 划 采 取 相 应 的 紧急 措施 。 

。 破坏 性 攻击 导致 系统 的 硬件 或 软件 不 能 正常 发 挥 其 功能 。 

。 病毒 侵害 使 系统 不 能 正常 工作 或 工作 效率 急剧 下 降 。 

。 物理 设备 的 人 为 毁坏 导致 无 法 正常 工作 或 工作 效率 下 降 。 

。 意外 停电 而 后 备 供电 系统 不 能 正常 供电 。 

。 自然 灾害 的 破坏 使 系统 不 能 正常 运行 。 

。 关键 岗位 人 员 擅 离职 守 。 

应 急 计 划 的 内 容 包 括 以 下 5 个 部 分 。 
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紧急 措施 : 针对 各 种 类 型 的 紧急 事件 ,制定 的 响应 .救护 以 及 撤离 等 各 项 应 急 措施 。 
资源 备份 : 对 软件 .电源 、 大 型 系统 的 关键 设备 和 通信 及 信息 安全 设备 等 系统 重要 
资源 进行 备份 。 
恢复 过 程 : 制定 并 实施 灾难 发 生 后 的 系统 恢复 过 程 与 步骤 , 尽 可 能 保证 系统 受 损 后 
能 够 尽快 恢复 运行 ,降低 损失 。 

。 应 急 计划 演习 : 制定 应 急 计 划 演 习 方 案 并 定期 进行 演习 。 

。 关键 信息 : 应 急 计 划 的 关键 信息 应 该 张贴 在 明显 的 位 置 ,包括 报警 电话 、 火 警 电话 

以 及 负责 人 电话 等 信息 。 

应 急 计 划 应 至 少 包 含 两 套 备 用 方案 ,并 且 每 种 方案 均 可 独立 实施 。 应 急 计 划 应 该 语言 
简洁 .步骤 清楚 ,责任 分 工 明确 ,具有 较 强 的 可 操作 性 。 应 急 计划 流程 应 该 公布 在 明显 的 位 
置 ,万 一 事故 发 生 以 便 应 急 计划 能 够 得 到 快速 执行 。 


9.2 金融 电子 交易 系统 安全 示例 


随 着 信息 技术 的 快速 发 展 , 社 会 信息 化 程度 不 断 提 高 ,人 类 社会 已 经 步 人 一 个 轿 新 的 时 
代 一 一 信息 网 络 时 代 。 在 当前 网 络 日 益 普及 的 情况 之 下 ,网 络 金融 系统 、 网 络 银行 .网 络 证 
券 .电子 支付 等 电子 交易 系统 迅速 发 展 , 并 得 到 越 来 越 广泛 的 应 用 。 

随 着 电子 交易 的 迅速 发 展 , 由 于 电子 交易 系统 是 在 公开 的 网 络 上 进行 的 ,支付 等 信息 和 
机 密 的 往来 文件 等 大 量 金融 信息 在 计算 机 系统 存放 ,传输 和 处 理 ,电子 交易 系统 的 安全 已 受 
到 来 自 计算 机 病毒 .电脑 黑客 .计算 机 网 络 系统 自身 脆弱 性 等 各 方面 严峻 的 挑战 。 所 以 , 交 
易 的 安全 性 是 电子 交易 系统 发 展 的 核心 和 关键 问题 。 

假设 有 某 个 大 型 交易 所 ,虽然 用 户 遍 及 全 国 ,但 是 目前 仍然 采用 传统 的 场 内 交易 方式 ， 
大 大 限制 了 交易 所 的 发 展 , 因 此 为 了 争取 更 多 的 用 户 并 为 用 户 提供 更 加 便捷 的 服务 ,需要 建 
立 网 上 交易 系统 。 网 上 交易 系统 的 建立 不 仅 能 够 提供 便捷 且 无 场地 时 间 限 制 的 网 络 交易 ， 
而 且 还 能 够 扩大 用 户 面 以 及 用 户 数量 。 但 前 提 条 件 是 保障 用 户 在 网 络 系统 中 交易 的 安全 
性 。 电 子 交 易 网 络 系统 要 实现 其 金融 交易 功能 ,必须 要 支持 场 外 、 场 内 的 交易 活动 ,同时 还 
要 提供 办 公 自 动 化 .信息 发 布 以 及 内 部 事务 管理 等 服务 。 网 络 的 开放 性 特点 导致 黑客 ,非法 
用 户 以 及 恶意 程序 等 对 电子 交易 系统 的 攻击 频频 出 现 , 所 以 网 络 信息 安全 成 为 交易 网 络 系 
统 得 以 稳定 高 效 运行 的 重要 保障 。 因 此 ,需要 建立 一 整套 交易 系统 安全 体系 结构 来 保障 网 
络 交易 系统 本 身 以 及 业务 系统 、 信 息 传输 和 存储 安全 。 


9.2.1 安全 风险 分 析 


1. 系统 资产 识别 

金融 电子 交易 系统 的 资产 主要 包括 硬件 资产 、 软 件 资产 .用 户 资产 以 及 信息 资产 等 。 

电子 交易 整个 网 络 系统 中 以 及 网 络 外 围 的 硬件 设备 都 属于 硬件 资产 ,包括 个 人 计算 机 、 
服务 器 、 网 络 设备 .安全 设备 .传输 介质 ` 终 端 .输入 输出 设备 电源、 打印 机 等 。 依 赖 于 以 上 
所 有 硬件 资产 而 运行 的 软件 产品 都 称 为 软件 资产 ,目前 主要 识别 出 的 软件 资产 有 操作 系统 、 
数据 库 管 理 系 统 、 网 络 管理 软件 .Internet 公共 服务 软件 、 专 用 软件 等 。 系 统 外 以 及 系统 内 
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的 各 种 安全 风险 和 威胁 都 可 能 会 对 软 硬 件 资产 造成 影响 。 由 于 软件 资产 以 及 数据 信息 对 硬 
件 的 依赖 性 ,所 以 硬件 资产 的 任何 风险 都 可 能 会 影响 到 电子 交易 系统 安全 。 由 于 信息 资产 
的 传输 、 存 储 和 处 理 过 程 均 要 有 软件 资产 的 参与 ,因此 软件 资产 面临 的 风险 也 将 会 影响 到 系 
统 安全 。 

用 户 是 确保 电子 交易 系统 安全 的 关键 环节 ,系统 用 户 资产 由 网 络 交易 员 、 系 统 业 务 员 、 
系统 管理 员 ,系统 维护 员 组 成 。 实 际 上 ,一 部 分 安全 事故 的 发 生 是 由 于 用 户 的 操作 不 当 所 
致 。 因 此 提高 用 户 安全 意识 .改善 用 户 操作 习惯 可 以 有 效 降低 用 户 给 系统 带 来 的 安全 隐患 。 
而 确保 用 户 安全 的 根本 措施 是 设计 完善 的 权限 控制 和 访问 控制 体系 。 

电子 交易 系统 的 核心 是 信息 资产 ,在 交易 网 络 中 存在 各 种 各 样 的 信息 资产 ,其 中 交易 性 
信息 资产 ,办公 业务 及 管理 信息 资产 是 两 类 最 常见 .最 重要 的 信息 资产 。 交 易 性 信息 资产 涵 
盖 了 网 络 交易 过 程 中 产生 的 各 种 实时 和 历史 交易 信息 发布 的 数据 信息 和 各 种 管理 文档 等 。 
办 公 业 务 及 管理 信息 包括 系统 配置 信息 、 安 全 管理 信息 、 审 计 与 监控 信息 以 及 用 户 使 用 的 各 
类 人 敏感 信息 。 在 信息 资产 识别 过 程 中 ,为 了 便于 后 续 的 风险 分 析 , 应 该 根据 信息 资产 的 价值 
对 其 进行 敏感 度 划分 。 一 旦 受到 威胁 ,应 该 首先 保护 敏感 度 高 的 信息 。 

(1) 敏感 信息 。 只 对 交易 人 员 本 人 或 系统 一 定 范围 的 人 员 开 放 。 从 用 户 身份 认证 、 访 
间 控 制 到 交易 数据 交换 处 理 等 环节 ,针对 敏感 信息 尤其 是 远程 交易 的 数据 信息 ,都 要 进行 严 
格 的 机 密 性 和 完整 性 保护 。 

(2) 内 部 信息 。 仅 对 系统 内 部 部 分 或 全 体 人 员 开放 的 信息 。 内 部 信息 需要 进行 授权 访 
间 并 对 信息 的 机 密 性 和 完整 性 进行 合理 保护 。 

(3) 公共 信息 。 对 系统 内 外 部 人 员 都 开放 的 一 类 信息 。 所 有 人 都 可 以 进行 浏览 和 获取 。 
为 确保 使 用 者 能 够 及 时 准确 地 获取 所 需 的 信息 ,系统 必须 保证 公共 信息 的 完整 性 和 有 效 性 。 

2. 系统 风险 分 析 

1) 一 般 性 风险 分 析 

通常 金融 电子 交易 系统 所 面临 的 一 般 性 风险 就 是 安全 攻击 。 攻 击 分 为 两 种 ; 主动 攻击 
和 被 动 攻击 。 

主动 攻击 可 以 是 来 自 于 系统 内 外 部 的 人 员 主动 入侵 系统 ,影响 或 改变 系统 的 运行 状态 
导致 系统 不 能 够 正常 工作 甚至 是 系统 瘫痪 。 主 动 攻击 会 给 电子 交易 网 络 带 来 灾难 性 的 损失 
和 后 果 。 主 动 攻击 的 形式 大 体 包括 : 

(1) 入 侵 。 利 用 网 络 或 系统 的 漏洞 侵入 系统 并 进行 非法 复制 、 更 改 数据 ,甚至 获得 系统 
管理 特权 从 而 操纵 系统 资源 等 。 系 统 内 部 人 员 如 管理 员 或 操作 员 等 本 来 就 具有 进行 系统 操 
作 资源 的 权限 ,因此 很 容易 进行 攻击 。 防 御 不 严 的 网 络 系统 也 极 易 引 来 黑客 的 人 侵 。 

(2) 假冒 。 预 先 获 得 合法 用 户 的 身份 标识 或 权限 以 后 ,攻击 者 会 假冒 合法 用 户 的 身份 
行使 其 权限 ,比较 严重 的 情况 是 假冒 系统 管理 员 进行 操作 。 

(3) 重 放 。 攻 击 者 利用 网 络 监听 或 其 他 方式 盗 取 合法 、 正 常 的 认证 交互 信息 ,然后 将 其 
重新 发 送 给 认证 服务 器 ,从 而 达到 欺骗 系统 的 目的 。 重 放 攻击 是 黑客 常用 的 攻击 方式 。 

(4) 自 改 。 攻 击 者 在 获取 系统 中 文件 .数据 等 信息 资源 的 存 取 权 限 以 后 ,执行 修改 、 删 
除 或 添加 等 破坏 性 操作 的 行为 称 为 得 改 ,被 纂 改 的 信息 的 完整 性 和 机 密 性 均 受到 严重 破坏 。 

(5) 抵赖 。 某 行为 实体 对 已 经 发 送 或 接收 信息 的 行为 进行 事后 抵赖 ,造成 责任 混乱 , 因 
此 也 称 为 否认 型 攻击 。 也 就 是 说 , 某 行为 实体 对 自己 发 出 或 接收 信息 的 行为 有 预谋 地 或 故 
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意 地 不 负责 任 、 进 行 否 认 或 抵赖 。 抵 赖 型 攻击 是 电子 商务 中 的 重大 安全 问题 之 一 。 可 以 采 
用 数字 签名 、 身 份 认证 等 技术 措施 来 防止 和 抵抗 抵赖 行为 。 

(6) 病毒 攻击 。 向 系统 注入 能 够 进行 自我 复制 的 病毒 程序 ,病毒 运行 后 可 能 损坏 数据 
甚至 造成 系统 瘫痪 。 

被 动 攻击 主要 是 收集 信息 而 不 是 进行 访问 ,更 不 会 改变 数据 资源 以 及 系统 的 运行 状态 ， 
但 会 盗用 信息 资源 并 用 于 非法 目的 。 攻 击 可 以 来 自 网 络 系统 的 内 部 或 外 部 。 被 动 攻击 的 形 
式 包括 信息 窃取 、 密 码 分 析 以 及 通信 流量 和 流向 分 析 。 

(1) 信息 窃取 。 攻 击 者 从 传输 信道 、 存 储 介质 等 处 窃取 信息 ,如 搭 线 监听 、 无 线 传输 信 
号 侦 收 、 窃 取 数 据 文件 或 直接 进行 数据 复制 等 。 

(2) 密码 分 析 。 对 截获 的 已 加 密 信息 进行 密码 破译 ,从 中 获取 有 价值 的 信息 。 

(3) 通信 流量 和 流向 分 析 。 对 网 络 传输 中 的 信息 流量 和 流向 进行 分 析 , 然 后 导出 有 价 
值 的 信息 ,从 而 为 组 织 系统 的 攻击 收集 资料 。 

2) 电子 交易 系统 风险 分 析 

电子 交易 系统 的 安全 风险 可 以 说 是 来 自 于 方方面面 , 既 包 括 主动 和 被 动 攻击 所 带 来 的 
威胁 ,也 包括 管理 不 善 带 来 的 风险 。 主 动 威胁 可 以 是 网 络 资源 拒绝 服务 攻击 ,造成 系统 资源 
对 系统 降低 甚至 是 丧失 正常 服务 能 力 , 也 包含 了 信息 自 改 与 重 放 、 恶 意 程序 攻击 、 假 冒 合 
用 户 ,伪造 合法 系统 服务 等 一 系列 威胁 。 被 动 威胁 的 手段 有 截获 用 户 数 、 密 码 分 析 、 信 息 流 
和 信息 流向 分 析 等 。 由 管理 不 善 所 带 来 的 风险 更 是 多 种 多 样 。 对 系统 内 部 人 员 和 用 户 的 行 
为 管理 不 善 可 能 会 给 系统 带 来 风险 。 一 旦 系统 管理 员 操作 或 决策 失误 就 一 定 会 带 来 系统 风 
险 , 如 果 管 理 员 未 按 规定 启动 系统 安全 保护 体系 以 及 关键 性 的 系统 组 件 ,系统 的 安全 防御 能 
力 就 会 降低 ,甚至 会 面临 体系 崩溃 的 风险 。 无 论 是 非 授权 用 户 非 法 使 用 系统 资源 ,还 是 授权 
用 户 越权 使 用 资源 ,以 及 系统 的 授权 信息 的 互相 转让 , 均 可 能 造成 资源 的 滥用 和 误 用 ,甚至 
会 破坏 系统 运行 。 缺 乏 对 系统 环境 的 管理 ,不 重视 系统 物理 环境 中 脆弱 性 的 识别 与 改进 ,会 
给 不 法 分 子 窃取 以 及 破坏 物理 网 络 硬件 资产 等 攻击 行为 带 来 可 乘 之 机 。 


9.2.2 安全 需求 分 析 


金融 电子 交易 系统 的 安全 需求 主要 体现 在 两 个 方面 : 一 方面 是 交易 系统 内 部 应 用 业务 
和 管理 系统 的 安全 保障 ; 另 一 方面 是 交易 系统 通过 Internet 进行 数据 传输 、 处 理 , 存 储 以 及 
远程 交易 业务 的 安全 保护 需求 。 

1) 系统 内 部 安全 保障 

在 金融 电子 交易 系统 内 部 ,具有 安全 保障 需求 的 资源 包括 内 部 网 络 管理 系统 ,管理 信息 
系统 、 各 部 门 业务 系统 以 及 交易 所 大 楼 接 入 系统 等 。 通 过 对 系统 内 部 资源 进行 分 析 , 电 子 交 
易 系 统 内 部 主要 的 安全 保障 需求 包括 : 

(1) 系统 隔离 。 在 交易 系统 与 Internet 的 网 络 接 入 点 位 置 .需要 通过 安全 可 靠 的 物理 
隔离 或 逻辑 隔离 设备 及 手段 将 系统 交易 区 域 与 内 部 网 络 区 域 隔离 开 , 系 统 用 户 区 域 和 网 络 
资源 区 域 之 间 也 不 能 够 直接 连通 ,必须 进行 系统 隔离 。 另 外 ,对 于 局 域 网 中 应 用 业务 系统 和 
交易 系统 中 重要 资源 的 网 段 之 间 也 必须 要 进行 物理 隔离 或 VLAN 划分 。 

(2) 数据 加 密 。 对 于 交易 系统 内 部 保存 和 传输 的 且 与 交易 和 管理 有 关 的 所 有 数据 信 
息 ,都 要 进行 敏感 数据 的 加 密 存储 和 加 密 传输 。 
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(3) 身份 认证 。 身 份 认证 是 确认 实体 身份 真实 性 的 过 程 ,包括 鉴别 与 认证 两 个 环节 ,是 
实施 访问 控制 的 前 提 条 件 。 

(4) 访问 控制 。 用 户 请 求 访问 交易 系统 资源 及 交易 数据 时 ,进行 的 基于 身份 和 权限 的 
控制 过 程 ,包括 认证 与 授权 两 个 环节 。 

(5) 抗 抵赖 。 为 了 实现 交易 的 不 可 否认 性 ,必须 建立 抗 抵赖 体系 ,为 交易 系统 之 间 以 及 
系统 内 外 部 之 间 的 抵赖 行为 提供 证 据 和 仲裁 服务 。 

2) 与 Internet 连接 的 安全 需求 

系统 与 Internet 的 连接 存在 一 系列 的 风险 与 威胁 ,但 是 交易 系统 必须 要 通过 Internet 
进行 数据 传输 、 处 理 ,存储 以 及 远程 交易 业务 。 在 进行 网 上 交易 过 程 中 ,为 了 降低 风险 事件 
发 生 的 概率 ,我 们 对 交易 系统 提出 以 下 几 点 安全 保护 需求 。 

(1) 系统 管理 员 安 全 要 求 。 

系统 管理 员 首 先 应 具备 管理 系统 的 业务 能 力 和 道德 .政治 素质 ,不 能 滥用 或 转让 权限 ， 
遵守 安全 策略 与 操作 规程 ,其 操作 行为 必须 经 过 认证 、 授 权 并 对 自己 的 行为 负责 ,及 时 地 进 
行 系统 的 日 常 维护 和 病毒 清理 ,不 能 损害 系统 输入 输出 数据 。 

(2) 系统 运行 及 通信 和 要求。 

由 于 系统 的 软 硬 件 环境 是 保障 交易 系统 安全 可 靠 稳 定 运行 的 关键 ,用 户 不 能 随便 移动 
或 修改 系统 硬件 ,程序 数据 或 日 志文 件 。 系 统 通信 过 程 中 应 该 对 通信 线路 进行 物理 保护 ， 
以 防止 未 授权 的 物理 访问 或 者 恶意 破坏 。 

(3) 口令 文件 保护 需求 。 

为 了 妥善 保护 系统 口令 文件 ,除了 系统 授权 的 情况 以 外 ,任何 用 户 不 得 对 口令 文件 进行 
访问 或 修改 。 

(4) 对 抗 攻击 能 力 。 

系统 应 具备 一 定 的 对 抗 攻 击 的 能 力 ,确保 外 部 人 员 无 法 捕获 及 识别 通信 线路 中 传输 的 
数据 ,并 制定 完善 的 应 急 响应 计划 以 及 系统 恢复 过 程 。 

(5) 系统 容 灾 与 恢复 能 力 。 

系统 能 够 对 抗 自然 灾害 及 人 为 危害 的 能 力 , 并 对 关键 资源 进行 备份 ,如 备用 电源 、 备 用 
通信 线路 等 ,保证 系统 某 一 个 部 分 发 生 故 障 时 ,系统 的 运行 和 服务 能 够 尽快 恢复 。 


9.2.3 安全 规划 与 设计 


交易 系统 的 安全 规划 与 设计 总 体 方案 的 确定 需要 参照 安全 设计 的 原则 ,并 结合 电子 交 
易 的 相关 业务 ,制定 相应 的 安全 设计 目标 ,从 而 构建 详细 的 安全 体系 。 

1) 安全 设计 原则 

(1) 统筹 规划 ,分 步 实 施 。 

详细 分 析 电 子 交 易 系 统 所 面临 的 各 方面 风险 与 威胁 ,有 针对 性 地 建立 网 上 交易 系统 的 
基本 安全 体系 架构 ,并 采取 分 步 实 施 的 原则 ,逐步 实现 关键 业务 以 及 交易 网 络 的 整体 安全 。 

(2) 投入 与 效益 平衡 。 

在 不 降低 系统 网 络 效率 的 前 提 下 ,以 适当 的 安全 投入 ,获得 适度 的 网 络 安全 效益 。 

(3) 可 用 性 。 

安全 的 最 终 目的 是 保障 交易 系统 的 正常 .有 序 、 稳 定 的 运行 。 因 此 ,必须 要 在 资源 可 用 
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性 的 基础 上 , 尽 可 能 地 不 影响 网 络 的 结构 以 及 系统 应 用 业务 的 正常 运行 。 

(4) 可 扩展 性 。 

为 了 适应 日 后 用 户 量 逐 渐 增 加 的 发 展 趋势 ,安全 设计 和 实施 必须 能 够 支持 应 用 业务 系 
统 的 功能 扩展 需求 ,同时 也 能 限制 交易 网 络 规模 的 拓展 变化 以 及 升级 换代 。 

2) 安全 设计 目标 

运用 先进 的 技术 和 产品 ,建立 安全 可 靠 . 稳 定 运行 的 网 上 交易 系统 是 安全 设计 的 总 体 目 
标 。 网 上 交易 系统 应 该 具备 完善 的 安全 保障 体系 ,支持 各 种 网 络 交易 活动 ,并 且 不 限制 系统 
的 扩展 需求 。 网 上 交易 系统 的 安全 设计 目标 如 下 : 

(1) 交易 系统 的 传输 和 存储 安全 以 及 运行 安全 得 到 有 效 改 进 , 系 统 抗 风 险 能 力 得 到 显 
著 提高 。 

(2) 采用 安全 措施 对 交易 所 局 域 网 进行 从 网 络 划 分 .系统 设置 到 子 网 隔离 等 多 方面 的 
安全 性 改造 ,使 得 局 域 网 的 抗 风险 能 力 得 到 明显 提升 。 

(3) 对 交易 所 综合 业务 系统 中 数据 安全 传输 存储、 身份 认证 以 及 网 络 业务 等 方面 进行 
安全 性 改造 ,保障 敏感 信息 的 机 密 性 和 完整 性 。 


9.2.4 电子 交易 系统 安全 体系 


根据 安全 风险 和 安全 需求 分 析 结 果 来 确定 电子 交易 系统 的 安全 体系 及 安全 策略 ,合理 
配置 系统 中 的 安全 机 制 . 安 全 服务 以 及 安全 管理 等 各 个 模块 。 根 据 金 融 电子 交易 系统 的 实 
际 安全 需求 ,从 网 上 交易 安全 、 应 用 业务 安全 、 网 络 系统 安全 、 关 键 信息 加 密 等 安全 技术 方面 
以 及 安全 管理 方面 进行 安全 体系 设计 与 构建 。 

1. 网 上 交易 安全 

根据 电子 交易 系统 的 特点 ,网 上 交易 安全 可 以 通过 两 种 方式 来 实现 。 

1) 代理 公司 独立 管理 方式 

该 方式 是 由 系统 交易 中 心 授 权 给 各 代理 公司 ,然后 由 代理 公司 来 处 理 用户 的 交易 业务 ， 
实现 网 上 交易 的 安全 。 交 易 业 务 的 受理 是 在 代理 公司 进行 ,而 不 是 在 电子 交易 系统 内 部 
执行 。 

在 代理 公司 独立 管理 方式 下 ,交易 系统 的 安全 解决 方案 是 通过 在 各 代理 公司 配置 安全 
服务 器 .审计 服务 器 、 证 书 管理 中 心 以 及 用 户 端 密码 机 等 系统 安全 设备 来 实现 的 。 这 种 设计 
方式 主要 实现 的 安全 服务 功能 包括 身份 认证 ,数据 加 密 、 数 据 传输 安全 处 理 、 安 全 隔离 以 及 
安全 审计 等 。 用 户 可 以 通过 两 种 方式 在 交易 系统 开户 : 一 种 是 在 代理 公司 开户 ,代理 公司 
所 属 的 发 卡 中 心 负责 这 类 用 户 的 开户 管理 ; 另 一 种 是 在 交易 中 心 直 接 开户 ,用 户 开户 后 , 交 
易 中 心 的 发 卡 中 心 会 直接 对 用 户 进行 开户 管理 。 成 功 开户 的 用 户 会 获得 存储 着 个 人 私 钥 信 
息 的 用 户 身份 卡 , 该 卡 可 以 确保 用 户 敏感 信息 的 安全 存储 以 及 不 可 复制 。 当 系统 用 户 数 量 
以 及 业务 量 显著 增加 的 时 候 , 在 现 有 的 管理 方式 下 ,代理 公司 交易 系统 的 规模 已 经 无 法 适应 
当前 的 交易 业务 需求 ,因此 要 对 网 络 系统 进行 扩展 或 升级 。 在 考虑 不 影响 网 络 拓扑 结构 的 
前 提 下 ,增加 各 代理 公司 的 安全 服务 器 以 及 桌面 密码 机 的 数量 ,可 以 有 效 解决 扩大 后 的 交易 
业务 需求 ,而 且 也 不 会 因为 用 户 点 的 增多 而 改动 网 络 系统 结构 。 

在 代理 公司 独立 管理 方式 下 ,交易 系统 通过 Internet 进行 网 上 交易 的 安全 问题 由 代理 
公司 负责 解决 。 在 交易 中 心 进行 的 交易 ,代理 公司 只 实现 用 户 的 身份 认证 过 程 ,然后 将 信息 
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交 由 交易 中 心 处 理 , 交 易 中 心 根据 其 安全 配置 负责 网 上 交易 的 安全 。 在 代理 公司 进行 的 交 
易 , 其 网 上 交易 安全 可 以 通过 代理 公司 的 安全 服务 器 以 及 客户 端 桌面 密码 机 来 实现 。 

2) 系统 统一 管理 方式 

该 方式 由 系统 交易 中 心 统一 进行 交易 业务 的 处 理 与 管理 ,是 比较 直接 的 实现 方式 。 由 
于 系统 统一 管理 ,所 有 通过 Internet 进行 网 上 交易 的 业务 都 在 交易 中 心 接 人。 交易 中 心 负 
责 用 户 的 网 上 交易 安全 问题 。 用 户 进 行 网 上 交易 时 必须 使 用 配 有 桌面 密码 机 装置 的 客户 
端 , 用 户 通过 客户 端 向 中 心服 务 器 发 送 访问 请 求 , 请 求 由 安全 交易 受理 机 处 理 , 受 理 过 程 中 
的 安全 策略 由 服务 器 和 业务 系统 提供 ,从 而 实现 安全 的 网 上 交易 过 程 。 

2. 局 域 网 安全 

交易 系统 的 局 域 网 安全 设计 要 同时 考虑 3 个 方面 : 网 络 隔离 .访问 控制 以 及 加 密 传 输 。 
首先 要 利用 防火 墙 技术 ,对 局 域 网 与 公共 网 络 的 边界 进行 网 络 隔 离 及 访问 控制 ,有 效 防止 公 
共 网 络 的 安全 风险 威胁 到 交易 系统 内 部 网 络 。 其 次 ,局 域 网 中 网 络 资源 和 用 户 群 要 通过 网 
段 隔离 ( 子 网 划分 ) 的 方式 加 以 分 割 。 在 进行 敏感 信息 传输 的 过 程 中 ,使 用 加 密 隧道 技术 保 
障 子 网 间 的 数据 通信 与 传输 的 安全 。 

电子 交易 系统 的 网 络 划 分 方式 多 种 多 样 。 例 如 ,根据 网 络 资源 的 种 类 、 用 户 类 型 以 及 业 
务 类 型 的 不 同 , 可 以 采用 网 络 划 分 技术 实现 网 络 资源 与 用 户 的 隔离 。 又 如 ,根据 交易 网 络 中 
资源 的 敏感 程度 划分 为 普通 信息 网 和 敏感 信息 网 ,并 将 二 者 进行 物理 隔离 ,针对 敏感 信息 网 
实施 安全 策略 ,防止 非 授权 用 户 的 非法 访问 ,保障 网 络 系统 的 整体 安全 性 。 另 外 ,按照 系统 
机 构 设置 可 将 交易 系统 划分 为 业务 主 网 和 若干 个 业务 子 网 ,从 而 控制 业务 主 网 与 业务 子 网 、 
业务 子 网 之 间 的 信息 流向 。 

交易 系统 局 域 网 的 访问 控制 需要 实现 管理 信息 流向 .过 滤 风 险 连接 与 服务 的 功能 ,可 以 
通过 防火 墙 或 具有 防火 墙 功能 的 VPN 设备 实现 。 当 用 户 请 求 访 问 局 域 网 中 相关 网 络 资源 
时 ,防火 墙 或 VPN 设备 首先 要 对 用 户 名 、 账 号 与 口令 进行 识别 与 验证 ,从 而 对 用 户 的 身份 
进行 鉴别 ,只 有 通过 身份 鉴别 的 用 户 才 可 以 访问 请 求 的 资源 ,同时 防火 墙 或 VPN 设备 还 要 
控制 用 户 的 访问 时 间 .可 访问 的 资源 类 型 以 及 访问 权限 等 。 另 外 ,系统 管理 员 负责 用 户 账号 
的 建立 与 维护 ,并 控制 和 限制 用 户 的 账号 使 用 .网 络 访问 时 间 与 访问 方式 。 

3. 应 用 系统 安全 

交易 网 络 中 的 应 用 业务 系统 主要 包括 场 内 交易 系统 、 办 公 自 动 化 系统 、 部 门 业务 处 理 系 
统 、 管 理 信 息 系统 等 。 

场 内 交易 系统 在 处 理 所 有 用 户 敏 感 信息 时 ,首先 要 对 用 户 身 份 进行 识别 与 验证 ,进而 控 
制 其 操作 权限 ; 其 次 , 场 内 交易 系统 处 理 的 所 有 敏感 信息 的 传输 都 必须 经 过 加 密 处 理 , 从 而 
确保 数据 在 传输 过 程 中 不 被 窃取 或 算 改 。 

利用 Lotus Notes 平台 提供 的 访问 控制 .远程 传输 等 功能 ,修改 相关 应 用 业务 软件 , 即 
可 获得 身份 认证 \ 数 字 签 名 、 加 密 传输 等 安全 服务 功能 ,从 而 保证 办 公 自 动 化 系统 的 安全 。 

交易 系统 以 及 办 公 自 动 化 系统 中 保存 着 大 量 的 敏感 信息 ,加 密 存储 是 解决 敏感 信息 存 
储 安全 的 最 好 方法 ,文件 的 加 密 存储 方式 有 嵌入 式 文件 加 密 系统 方式 和 加 密 系统 外 挂 方 式 。 

交易 系统 对 内 部 和 外 部 都 会 提供 信息 浏览 查询 等 服务 ,保证 这 些 信息 服务 的 基本 安全 
措施 有 数据 源 鉴别 服务 、 数 据 机 密 性 服务 .数据 完整 性 服务 , 抗 抵 赖 服 务 ,访问 控制 服务 等 。 
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4. 应 用 业务 安全 

在 交易 业务 受理 过 程 中 ,如 何 防止 用 户 信息 的 非法 访问 与 自 改 ,有 效 保护 用 户 的 交易 信 
息 是 电子 交易 系统 安全 的 关键 。 在 交易 过 程 中 ,为 了 保护 应 用 业务 数据 的 机 密 性 、 完 整 性 以 
及 对 数据 的 访问 控制 ,可 以 根据 代理 公司 的 业务 量 大 小 ,选用 信息 加 密 、 数 字 签 名 和 身份 认 
证 等 技术 措施 。 这 里 建议 配置 金融 数据 加 密 机 来 解决 应 用 业务 安全 问题 。 该 加 密 机 是 以 现 
代 密 码 技术 为 核心 的 主机 安全 模块 ,是 一 个 具有 物理 安全 保护 措施 的 硬件 设备 ,具有 自主 密 
钥 管理 机 制 ,能 将 密码 运算 过 程 封装 在 内 部 完成 ,从 而 为 主机 提供 安全 的 应 用 层 密码 服务 ， 
如 密 钥 管 理 , 消 息 验证 ,数据 加 密 、 签 名 的 产生 和 验证 等 密码 服务 ,保证 数据 从 产生 传输 、 接 
收 到 处 理 整 个 过 程 的 安全 性 有效 性 、 完 整 性 ,不 可 抵赖 性 等 安全 问题 。 

在 网 络 交易 中 心 , 由 于 业务 量 较 大 ,一 般 要 求 配备 级 别 比 较 高 的 A 型 金融 数据 加 密 机 。 
由 于 交易 中 心 需要 处 理 多 个 代理 公司 的 业务 数据 ,为 了 满足 业务 处 理 能 力 ,金融 数 据 加 密 机 
的 加 密 ,数字 签 名 以 及 验证 的 速度 要 足够 快 。 

在 各 代理 公司 ,由 于 其 用 户 量 以 及 应 用 业务 量 较 少 ,因此 在 代理 公司 业务 处 理 中 可 以 选 
择 配置 性 能 较 低 的 B 型 或 C 型 金融 数据 加 密 机 。 当 代理 公司 将 数据 传送 到 交易 中 心 时 , 代 
理 公 司 的 业务 数据 的 加 密 数字 签名 以 及 身份 认证 等 环节 首先 要 由 B 型 或 C 型 金融 数据 加 
密 机 进行 处 理 ,然后 传送 到 交易 中 心 的 业务 主机 ,再 由 A 型 金融 数据 加 密 机 进行 数据 的 加 

由 于 各 型 的 金融 数据 加 密 机 能 够 提供 多 种 速率 、 多 种 类 型 以 及 多 种 标准 的 通信 能力 ,并 
且 都 使 用 同一 种 加 密 算法 ,因此 可 以 保证 业务 数据 在 整个 网 络 传输 、 处 理 以 及 存储 过 程 中 的 
完整 性 .机密 性 以 及 可 用 性 。 

5. 安全 管理 

安全 体系 设计 包括 两 个 方面 : 主动 防御 体系 和 被 动 防御 体系 。 主 动 防御 涉及 系统 扫描 
检测 、 入 侵 检测 、 跟 踪 、 告 警 、 安 全 审计 等 安全 策略 。 安 全 管理 属于 主动 防御 范畴 。 除 了 以 上 
安全 措施 以 外 ,安全 管理 还 涉及 对 信息 系统 及 其 运行 环境 的 法 律 约束 、 安 全 管理 制度 、 组 织 
管理 以 及 人 员 管 理 等 。 

1) 软 硬 件 安全 管理 

软 硬 件 安全 管理 所 要 达到 的 目标 是 保证 交易 网 络 系统 中 的 软 硬 件 实体 具有 一 个 良好 的 
运行 环境 。 

需要 进行 管理 的 硬件 设备 主要 有 服务 器 和 客户 机 、 通 信 设 备 以 及 网 络 设备 等 ,硬件 设备 
运行 环境 应 该 能 够 防 自然 灾害 (如 抗 电磁 辐射 ,防火 、 防 水 、 防 雷电 等 ) 和 人 为 灾害 (如 防 移 
动 . 盗 取 和 破坏 等 ) 。 硬 件 安全 管理 措施 包括 门禁 保护 ,监控 与 告警 等 。 

需要 进行 管理 的 软件 包括 支撑 软件 和 应 用 软件 两 类 。 主 要 的 支撑 软件 有 操作 系统 、 数 
据 库 软 件 、 开 发 工具 软件 等 ,对 于 操作 系统 而 言 ,一 般 需 要 进行 的 安全 管理 与 维护 工作 包括 ， 

。 定期 整理 文件 系统 。 

。 监控 服务 器 的 活动 状态 和 用 户 注册 数 。 

。 定期 清理 日 志文 件 、 临 时 文件 。 

。 处 理 运行 中 的 死机 状况 。 

应 用 软件 的 管理 和 维护 主要 是 版 本 控制 ,为 了 保持 客户 机 上 的 软件 版 本 一 致 ,应 该 设置 
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一 台 安 装 服务 器 , 当 远 程 客户 机 应 用 软件 需要 更 新 时 ,就 可 以 从 网 络 上 进行 远程 安装 。 

软 硬 件 的 安全 管理 与 维护 还 应 该 做 好 数据 的 备份 与 恢复 工作 。 利 用 多 种 介质 ,如 磁 介 
质 \ 纸 介质 、 光 盘 ,硬盘 等 ,对 系统 数据 进行 存储 、 备 份 和 恢复 。 这 种 安全 保护 措施 包括 对 系 
统 设备 的 备份 .关键 数据 的 备份 重要 系统 的 备份 等 。 

2) 病毒 的 安全 防范 管理 

病毒 的 安全 防范 应 该 从 技术 和 管理 两 个 方面 同时 进行 ,从 技术 角度 考虑 ,交易 系统 服务 
器 端 和 客户 主机 上 应 该 安装 防 病毒 软件 ,进行 病毒 检测 、 清 除 以 及 免疫 ,并 定期 更 新 防 病毒 
软件 和 病毒 库 。 在 管理 上 应 该 制定 一 整套 规章 制度 ,如 不 能 擅自 从 网 络 上 下 载 软件 并 使 用 ， 
以 防 软件 中 隐藏 的 病毒 对 交易 系统 构成 威胁 。 

3) 人 员 安 全 管理 

人 员 安 全 管理 的 主要 任务 是 提高 有 关 人 员 的 安全 意识 ,严格 选拔 业务 管理 人 员 并 落实 
工作 责任 制 。 人 员 安 全 管理 的 对 象 包括 安全 管理 人 员 、 系 统管 理 人 员 保安 人 员 以 及 用 户 。 
人 员 管 理 安全 运转 一 般 要 遵循 以 下 基本 原则 : 

。 最 小 特权 原则 。 

。 双人 负责 原则 。 

。 任期 有 限 原则 。 

4) 保密 管理 

金融 电子 交易 系统 涉及 各 方面 的 机 密 信息 ,需要 划分 信息 的 安全 级 别 ,确定 安全 防范 重 
点 ,提出 相应 的 保密 措施 。 信 息 的 安全 级 别 一 般 分 为 3 级 : 绝密 级 .机 密级 、 秘 密级 。 绝 密 
级 信息 不 允许 在 互联 网 上 公开 , 仅 限 于 高 层 管理 人 员 人 掌握 。 机 密级 信息 也 不 允许 在 互联 网 
上 公开 ,只 限于 中 层 以 上 管理 人 员 使 用 。 秘 密级 信息 可 以 供用 户 浏览 ,但 是 必须 设置 保护 程 
序 ,以 防 黑客 入 侵 。 

5) 系统 安全 审计 

系统 安全 审计 的 主要 工作 是 收集 并 分 析 交 易 系 统 中 所 有 业务 活动 的 日 志 记 录 、 违 规 记 
录 和 和 侵 检 测 信息 等 ,从 而 发 现 并 追踪 系统 的 非法 活动 ,降低 系统 运行 的 风险 。 系 统 安全 审 
计 是 电子 交易 系统 安全 体系 结构 的 重要 组 成 部 分 。 

安全 审计 专用 设备 (如 审计 监控 服务 器 ) 以 及 安全 设备 (如 防火 墙 ) 都 能 够 为 电子 交易 系 
统 提供 安全 审计 服务 。 对 于 操作 系统 ,数据 库 管理 系统 的 安全 审计 可 以 通过 审计 监控 服务 
器 实现 。 网 络 边界 以 及 网 络 通信 的 安全 审计 可 通过 防火 墙 等 安全 设备 所 提供 的 审计 功能 负 
责 实 现 。 根 据 应 用 业务 交易 情况 以 及 业务 软件 的 日 志 信 息 , 可 用 安全 管理 软件 对 其 进行 安 
全 审计 。 


9.3 本 章 小 结 


本 章 介绍 了 两 种 典型 的 信息 系统 的 安全 示例 ,电子 政务 信息 系统 和 金融 电子 交易 系统 ， 
并 分 别提 出 了 详细 的 安全 解决 方案 ,包括 系统 的 安全 风险 分 析 、 安 全 需求 分 析 、 安 全 规划 与 
设计 等 过 程 ,为 电子 政务 信息 系统 和 金融 电子 交易 系统 的 全 面 安全 及 其 使 用 该 系统 的 组 织 
或 机 构 提供 一 套 安全 可 靠 的 参考 解决 方案 。 
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am 本 co 


. 电子 政务 系统 的 安全 需求 包括 哪些 ? 

. 电子 政务 系统 的 安全 风险 包括 哪些 ? 

.如 何 确保 电子 政务 系统 的 安全 或 简 述 电子 政务 系统 的 安全 解决 方案 。 

. 简 述 金融 电子 交易 系统 面临 的 安全 威胁 或 风险 。 

. 假设 某 公 司 有 一 个 信息 管理 系统 ,简要 叙述 该 如 何 设计 其 安全 解决 方案 。 
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